`
wusuoya
  • 浏览: 640376 次
  • 性别: Icon_minigender_2
  • 来自: 成都
社区版块
存档分类
最新评论

生成证书命令keytool

    博客分类:
  • SSO
 
阅读更多

NOTE: (xp: %JAVA_HOME%/jre/lib/security/cacerts,  linux: $JAVA_HOME/jre/lib/security/cacerts)

验证是否已创建过同名的证书
keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts " -storepass changeit


删除已创建的证书
keytool -delete -alias tomcat -keystore "%%JAVA_HOME%/jre/lib/security/cacerts " -storepass changeit

Keytool是一个Java数据证书的管理工具。
keystore

 

Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中
在keystore里,包含两种数据: 密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)
                                               可信任的证书实体(trusted certificate entries)——只包含公钥

Alias(别名)
每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写

keystore的存储位置
在没有制定生成位置的情况下,keystore会存在与用户的系统默认目录,
如:对于window xp系统,会生成在系统的C:\Documents and Settings\UserName\
文件名为“.keystore”

keystore的生成

引用

keytool -genkey -alias tomcat -keyalg RSA   -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 180

参数说明:
-genkey表示要创建一个新的密钥
-dname表示密钥的Distinguished Names,
CN=commonName
OU=organizationUnit
O=organizationName
L=localityName
S=stateName
C=country
Distinguished Names表明了密钥的发行者身份
-keyalg使用加密的算法,这里是RSA
-alias密钥的别名
-keypass私有密钥的密码,这里设置为changeit
-keystore 密钥保存在D:盘目录下的mykeystore文件中
-storepass 存取密码,这里设置为changeit,这个密码提供系统从mykeystore文件中将信息取出
-validity该密钥的有效期为 180天 (默认为90天)

cacerts证书文件(The cacerts Certificates File)
该证书文件存在于java.home\jre\lib\security目录下,是Java系统的CA证书仓库

创建证书
1.服务器中生成证书:(注:生成证书时,CN要和服务器的域名相同,如果在本地测试,则使用localhost)
keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit
2.导出证书,由客户端安装:
keytool -export -alias tomcat -keystore d:\mykeystore -file d:\mycerts.cer -storepass changeit
3.客户端配置:为客户端的JVM导入密钥(将服务器下发的证书导入到JVM中)
keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts " -file d:\mycerts.cer -storepass changeit
生成的证书可以交付客户端用户使用,用以进行SSL通讯,或者伴随电子签名的jar包进行发布者的身份认证。

 

常出现的异常:“未找到可信任的证书”--主要原因为在客户端未将服务器下发的证书导入到JVM中,可以用
keytool -list -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit

linux: #keytool -list -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
来查看证书是否真的导入到JVM中。

keytool生成根证书时出现如下错误:

keytool错误:java.io.IOException:keystore was tampered with,or password was incorrect

原因是在你的home目录下是否还有.keystore存在。如果存在那么把他删除掉,然后再执行

或者删除"%JAVA_HOME%/jre/lib/security/cacerts 再执行

 

 

keytool 用法:

-certreq     [-v] [-protected]

             [-alias <别名>] [-sigalg <sigalg>]

             [-file <csr_file>] [-keypass <密钥库口令>]

             [-keystore <密钥库>] [-storepass <存储库口令>]

             [-storetype <存储类型>] [-providername <名称>]

             [-providerclass <提供方类名称> [-providerarg <参数>]] ...

             [-providerpath <路径列表>]

 

-changealias [-v] [-protected] -alias <别名> -destalias <目标别名>

             [-keypass <密钥库口令>]

             [-keystore <密钥库>] [-storepass <存储库口令>]

             [-storetype <存储类型>] [-providername <名称>]

             [-providerclass <提供方类名称> [-providerarg <参数>]] ...

             [-providerpath <路径列表>]

 

-delete      [-v] [-protected] -alias <别名>

             [-keystore <密钥库>] [-storepass <存储库口令>]

             [-storetype <存储类型>] [-providername <名称>]

             [-providerclass <提供方类名称> [-providerarg <参数>]] ...

             [-providerpath <路径列表>]

 

-exportcert  [-v] [-rfc] [-protected]

             [-alias <别名>] [-file <认证文件>]

             [-keystore <密钥库>] [-storepass <存储库口令>]

             [-storetype <存储类型>] [-providername <名称>]

             [-providerclass <提供方类名称> [-providerarg <参数>]] ...

             [-providerpath <路径列表>]

 

-genkeypair  [-v] [-protected]

             [-alias <别名>]

             [-keyalg <keyalg>] [-keysize <密钥大小>]

             [-sigalg <sigalg>] [-dname <dname>]

             [-validity <valDays>] [-keypass <密钥库口令>]

             [-keystore <密钥库>] [-storepass <存储库口令>]

             [-storetype <存储类型>] [-providername <名称>]

             [-providerclass <提供方类名称> [-providerarg <参数>]] ...

             [-providerpath <路径列表>]

 

-genseckey   [-v] [-protected]

             [-alias <别名>] [-keypass <密钥库口令>]

             [-keyalg <keyalg>] [-keysize <密钥大小>]

             [-keystore <密钥库>] [-storepass <存储库口令>]

             [-storetype <存储类型>] [-providername <名称>]

             [-providerclass <提供方类名称> [-providerarg <参数>]] ...

             [-providerpath <路径列表>]

 

-importcert  [-v] [-noprompt] [-trustcacerts] [-protected]

             [-alias <别名>]

             [-file <认证文件>] [-keypass <密钥库口令>]

             [-keystore <密钥库>] [-storepass <存储库口令>]

             [-storetype <存储类型>] [-providername <名称>]

             [-providerclass <提供方类名称> [-providerarg <参数>]] ...

             [-providerpath <路径列表>]

 

-importkeystore [-v]

             [-srckeystore <源密钥库>] [-destkeystore <目标密钥库>]

             [-srcstoretype <源存储类型>] [-deststoretype <目标存储类型>]

             [-srcstorepass <源存储库口令>] [-deststorepass <目标存储库口令>]

             [-srcprotected] [-destprotected]

             [-srcprovidername <源提供方名称>]

             [-destprovidername <目标提供方名称>]

             [-srcalias <源别名> [-destalias <目标别名>]

               [-srckeypass <源密钥库口令>] [-destkeypass <目标密钥库口令>]]

             [-noprompt]

             [-providerclass <提供方类名称> [-providerarg <参数>]] ...

             [-providerpath <路径列表>]

 

-keypasswd   [-v] [-alias <别名>]

             [-keypass <旧密钥库口令>] [-new <新密钥库口令>]

             [-keystore <密钥库>] [-storepass <存储库口令>]

             [-storetype <存储类型>] [-providername <名称>]

             [-providerclass <提供方类名称> [-providerarg <参数>]] ...

             [-providerpath <路径列表>]

 

-list        [-v | -rfc] [-protected]

             [-alias <别名>]

             [-keystore <密钥库>] [-storepass <存储库口令>]

             [-storetype <存储类型>] [-providername <名称>]

             [-providerclass <提供方类名称> [-providerarg <参数>]] ...

             [-providerpath <路径列表>]

 

-printcert   [-v] [-file <认证文件>]

 

-storepasswd [-v] [-new <新存储库口令>]

             [-keystore <密钥库>] [-storepass <存储库口令>]

             [-storetype <存储类型>] [-providername <名称>]

             [-providerclass <提供方类名称> [-providerarg <参数>]] ...

             [-providerpath <路径列表>]

分享到:
评论

相关推荐

    KeyTool 工具生成X.509证书

    2. **生成证书请求**:使用`keytool -certreq`生成CSR(Certificate Signing Request),这包含公钥和组织信息。 3. **签署证书**:将CSR提交给证书颁发机构(CA),他们将验证信息并返回签署的证书。 4. **导入证书...

    keytool生成证书

    在本主题中,我们将深入探讨如何使用keytool生成证书及其相关概念。 首先,让我们了解什么是证书。证书是一种电子文档,它包含了公钥以及证书持有者的身份信息,并由可信任的第三方机构(称为证书颁发机构,或CA)...

    keytool+tomcat配置HTTPS双向证书认证

    以下是在 Windows 系统中使用 Keytool 生成证书的命令: `keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500` 在 Linux 系统中,可以使用以下命令生成证书: `./...

    https证书生成工具(openssl和jre(自带keytool)) for windows.rar

    下面将详细介绍这两个工具以及如何使用它们生成证书。 1. **openssl** OpenSSL是一款开源的SSL/TLS库,它包含了一系列强大的加密算法,支持多种证书格式。在HTTPS证书生成过程中,openssl主要用来生成私钥和CSR...

    证书工具KeyTool1.6

    5. **自签名证书**:对于测试环境或内部网络,KeyTool还可以生成自签名证书,这种证书由自己生成并签名,适用于非正式的通信场景。 6. **信任管理**:KeyTool可以帮助管理信任的CA证书,这些证书被存放在“Trust...

    Keytool与数字证书

    本文主要介绍了如何使用Keytool工具来生成密钥、创建自签名证书、导入第三方证书、导出数字证书以及配置HTTPS服务的过程。这些步骤对于搭建安全的网络通信至关重要。在实际操作过程中需要注意细节,如密钥库密码的...

    命令行keytool使用 证书DN生成数字证书容器 空格

    本篇文章将深入探讨`keytool`的使用,特别是如何通过命令行生成证书的Distinguished Name (DN)以及如何创建数字证书容器。 首先,让我们理解什么是Distinguished Name (DN)。DN是X.509证书中一个独特的标识符,它...

    Linux命令keytool命令 – 密钥和证书管理工具.docx

    此参数用于创建私钥和对应的公钥,并可以自动生成证书。例如: ```bash keytool -genkeypair -alias mykey -keyalg RSA -keystore keystore.jks -storepass password -keypass password -dname "CN=example.com,OU...

    tomcat生成证书

    使用 keytool 工具生成证书请求文件,命令如下: `keytool -certreq -alias tomcat -keystore C:\Users\lzs\tomcat.keystore -file C:\Users\lzs\tomcatRequest.csr` 这条命令将生成一个证书请求文件 ...

    https证书(nginx、tomcat均可用).zip

    - **ca.key**:这是CA的私钥,用于签署其他证书,但在这个场景下可能不是必需的,因为证书已经生成了。 - **ca.pem**:同上,可能包含CA的公钥信息,也可能是服务器证书的pem格式。 5. **使用步骤**: - **Nginx...

    keytool证书制作工具

    - `keytool -certreq`:生成证书请求。 4. **证书链与信任** - 在HTTPS通信中,服务器需要提供由CA签名的数字证书,客户端会检查该证书是否在信任存储库中,以及其签发路径是否完整(即证书链)。 5. **应用示例...

    openSSL制作证书并在tomcat上配置

    要生成证书文件,我们需要使用openSSL提供的命令和工具。下面是生成服务器端证书文件的步骤: 1. 生成服务器端的私钥(key文件):`openssl genrsa -des3 -out server.key 1024` 2. 生成服务器端证书签名请求文件...

    keytool 加密证书制作

    2. **生成自签名证书**:通过`keytool -selfcert`命令,可以在Keystore内生成一个自签名的数字证书,用于自我验证。 3. **导出公钥证书**:如果需要分享证书,可以使用`keytool -exportcert`命令将公钥部分导出为....

    OpenSSL生成的ssl证书

    3. **生成证书签名请求(CSR)**:接着,基于刚才生成的私钥创建一个证书签名请求,这将包含服务器的相关信息。命令如下: ``` openssl req -new -key private.key -out CSR.csr ``` 在交互式提示中,输入服务器的...

    Java KeyTool使用

    Java KeyTool 使用指南 Java KeyTool 是 Java 安全套件中的一部分,用于创建、管理和维护数字证书。下面是使用 KeyTool 的详细...通过使用 KeyTool,可以轻松地生成密钥对、导出证书、将证书导入 Java 信任证书库等。

    JDK中利用keytool创建自签名证书

    总结来说,创建并使用自签名证书涉及了Java的密钥存储、密钥对生成、证书签发和安全管理等多个环节。了解并掌握这些知识对于进行安全的Java网络编程至关重要。通过实践和理解`keytool`命令以及在Java代码中使用`...

    windows下安卓证书生成命令

    本文将围绕“Windows下安卓证书生成命令”这一主题展开,详细解析如何利用Java自带的`keytool`工具来生成安卓应用所需的证书。 ### 一、安卓证书概述 在Android应用开发中,为了保证应用程序的安全性和完整性,...

    keytool建立双向认证

    - 使用keytool生成服务器的自我签名证书,通常包含服务器的公钥和标识信息。 - 命令示例: ``` keytool -genkeypair -alias server -keyalg RSA -keystore server.keystore -keysize 2048 ``` - 这里 `-alias`...

    KeyTool_GUI

    5. **操作命令**:KeyTool支持多种命令,如`keytool -genkeypair`用于生成密钥对,`keytool -importcert`用于导入证书,`keytool -list`用于查看密钥库内容等。 6. **GUI界面的优势**:图形界面使这些操作变得更加...

    java keytool安全证书学习

    使用`keytool -genkey -alias serverkey -keystore kserver.keystore`命令,你可以生成一个名为`serverkey`的别名,存储在名为`kserver.keystore`的KeyStore文件中的服务器私钥。 2. **导出服务器证书**: `...

Global site tag (gtag.js) - Google Analytics