NOTE: (xp: %JAVA_HOME%/jre/lib/security/cacerts, linux: $JAVA_HOME/jre/lib/security/cacerts)
验证是否已创建过同名的证书
keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts " -storepass changeit
删除已创建的证书
keytool -delete -alias tomcat -keystore "%%JAVA_HOME%/jre/lib/security/cacerts " -storepass changeit
Keytool是一个Java数据证书的管理工具。
keystore
Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中
在keystore里,包含两种数据: 密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)
可信任的证书实体(trusted certificate entries)——只包含公钥
Alias(别名)
每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写
keystore的存储位置
在没有制定生成位置的情况下,keystore会存在与用户的系统默认目录,
如:对于window xp系统,会生成在系统的C:\Documents and Settings\UserName\
文件名为“.keystore”
keystore的生成
keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 180
参数说明:
-genkey表示要创建一个新的密钥
-dname表示密钥的Distinguished Names,
CN=commonName
OU=organizationUnit
O=organizationName
L=localityName
S=stateName
C=country
Distinguished Names表明了密钥的发行者身份
-keyalg使用加密的算法,这里是RSA
-alias密钥的别名
-keypass私有密钥的密码,这里设置为changeit
-keystore 密钥保存在D:盘目录下的mykeystore文件中
-storepass 存取密码,这里设置为changeit,这个密码提供系统从mykeystore文件中将信息取出
-validity该密钥的有效期为 180天 (默认为90天)
cacerts证书文件(The cacerts Certificates File)
该证书文件存在于java.home\jre\lib\security目录下,是Java系统的CA证书仓库
创建证书
1.服务器中生成证书:(注:生成证书时,CN要和服务器的域名相同,如果在本地测试,则使用localhost)
keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit
2.导出证书,由客户端安装:
keytool -export -alias tomcat -keystore d:\mykeystore -file d:\mycerts.cer -storepass changeit
3.客户端配置:为客户端的JVM导入密钥(将服务器下发的证书导入到JVM中)
keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts " -file d:\mycerts.cer -storepass changeit
生成的证书可以交付客户端用户使用,用以进行SSL通讯,或者伴随电子签名的jar包进行发布者的身份认证。
常出现的异常:“未找到可信任的证书”--主要原因为在客户端未将服务器下发的证书导入到JVM中,可以用
keytool -list -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit
linux: #keytool -list -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
来查看证书是否真的导入到JVM中。
keytool生成根证书时出现如下错误:
keytool错误:java.io.IOException:keystore was tampered with,or password was incorrect
原因是在你的home目录下是否还有.keystore存在。如果存在那么把他删除掉,然后再执行
或者删除"%JAVA_HOME%/jre/lib/security/cacerts 再执行
keytool 用法:
-certreq [-v] [-protected]
[-alias <别名>] [-sigalg <sigalg>]
[-file <csr_file>] [-keypass <密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-changealias [-v] [-protected] -alias <别名> -destalias <目标别名>
[-keypass <密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-delete [-v] [-protected] -alias <别名>
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-exportcert [-v] [-rfc] [-protected]
[-alias <别名>] [-file <认证文件>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-genkeypair [-v] [-protected]
[-alias <别名>]
[-keyalg <keyalg>] [-keysize <密钥大小>]
[-sigalg <sigalg>] [-dname <dname>]
[-validity <valDays>] [-keypass <密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-genseckey [-v] [-protected]
[-alias <别名>] [-keypass <密钥库口令>]
[-keyalg <keyalg>] [-keysize <密钥大小>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-importcert [-v] [-noprompt] [-trustcacerts] [-protected]
[-alias <别名>]
[-file <认证文件>] [-keypass <密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-importkeystore [-v]
[-srckeystore <源密钥库>] [-destkeystore <目标密钥库>]
[-srcstoretype <源存储类型>] [-deststoretype <目标存储类型>]
[-srcstorepass <源存储库口令>] [-deststorepass <目标存储库口令>]
[-srcprotected] [-destprotected]
[-srcprovidername <源提供方名称>]
[-destprovidername <目标提供方名称>]
[-srcalias <源别名> [-destalias <目标别名>]
[-srckeypass <源密钥库口令>] [-destkeypass <目标密钥库口令>]]
[-noprompt]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-keypasswd [-v] [-alias <别名>]
[-keypass <旧密钥库口令>] [-new <新密钥库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-list [-v | -rfc] [-protected]
[-alias <别名>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
-printcert [-v] [-file <认证文件>]
-storepasswd [-v] [-new <新存储库口令>]
[-keystore <密钥库>] [-storepass <存储库口令>]
[-storetype <存储类型>] [-providername <名称>]
[-providerclass <提供方类名称> [-providerarg <参数>]] ...
[-providerpath <路径列表>]
相关推荐
2. **生成证书请求**:使用`keytool -certreq`生成CSR(Certificate Signing Request),这包含公钥和组织信息。 3. **签署证书**:将CSR提交给证书颁发机构(CA),他们将验证信息并返回签署的证书。 4. **导入证书...
在本主题中,我们将深入探讨如何使用keytool生成证书及其相关概念。 首先,让我们了解什么是证书。证书是一种电子文档,它包含了公钥以及证书持有者的身份信息,并由可信任的第三方机构(称为证书颁发机构,或CA)...
以下是在 Windows 系统中使用 Keytool 生成证书的命令: `keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500` 在 Linux 系统中,可以使用以下命令生成证书: `./...
下面将详细介绍这两个工具以及如何使用它们生成证书。 1. **openssl** OpenSSL是一款开源的SSL/TLS库,它包含了一系列强大的加密算法,支持多种证书格式。在HTTPS证书生成过程中,openssl主要用来生成私钥和CSR...
5. **自签名证书**:对于测试环境或内部网络,KeyTool还可以生成自签名证书,这种证书由自己生成并签名,适用于非正式的通信场景。 6. **信任管理**:KeyTool可以帮助管理信任的CA证书,这些证书被存放在“Trust...
本文主要介绍了如何使用Keytool工具来生成密钥、创建自签名证书、导入第三方证书、导出数字证书以及配置HTTPS服务的过程。这些步骤对于搭建安全的网络通信至关重要。在实际操作过程中需要注意细节,如密钥库密码的...
本篇文章将深入探讨`keytool`的使用,特别是如何通过命令行生成证书的Distinguished Name (DN)以及如何创建数字证书容器。 首先,让我们理解什么是Distinguished Name (DN)。DN是X.509证书中一个独特的标识符,它...
此参数用于创建私钥和对应的公钥,并可以自动生成证书。例如: ```bash keytool -genkeypair -alias mykey -keyalg RSA -keystore keystore.jks -storepass password -keypass password -dname "CN=example.com,OU...
使用 keytool 工具生成证书请求文件,命令如下: `keytool -certreq -alias tomcat -keystore C:\Users\lzs\tomcat.keystore -file C:\Users\lzs\tomcatRequest.csr` 这条命令将生成一个证书请求文件 ...
- **ca.key**:这是CA的私钥,用于签署其他证书,但在这个场景下可能不是必需的,因为证书已经生成了。 - **ca.pem**:同上,可能包含CA的公钥信息,也可能是服务器证书的pem格式。 5. **使用步骤**: - **Nginx...
- `keytool -certreq`:生成证书请求。 4. **证书链与信任** - 在HTTPS通信中,服务器需要提供由CA签名的数字证书,客户端会检查该证书是否在信任存储库中,以及其签发路径是否完整(即证书链)。 5. **应用示例...
要生成证书文件,我们需要使用openSSL提供的命令和工具。下面是生成服务器端证书文件的步骤: 1. 生成服务器端的私钥(key文件):`openssl genrsa -des3 -out server.key 1024` 2. 生成服务器端证书签名请求文件...
2. **生成自签名证书**:通过`keytool -selfcert`命令,可以在Keystore内生成一个自签名的数字证书,用于自我验证。 3. **导出公钥证书**:如果需要分享证书,可以使用`keytool -exportcert`命令将公钥部分导出为....
3. **生成证书签名请求(CSR)**:接着,基于刚才生成的私钥创建一个证书签名请求,这将包含服务器的相关信息。命令如下: ``` openssl req -new -key private.key -out CSR.csr ``` 在交互式提示中,输入服务器的...
Java KeyTool 使用指南 Java KeyTool 是 Java 安全套件中的一部分,用于创建、管理和维护数字证书。下面是使用 KeyTool 的详细...通过使用 KeyTool,可以轻松地生成密钥对、导出证书、将证书导入 Java 信任证书库等。
总结来说,创建并使用自签名证书涉及了Java的密钥存储、密钥对生成、证书签发和安全管理等多个环节。了解并掌握这些知识对于进行安全的Java网络编程至关重要。通过实践和理解`keytool`命令以及在Java代码中使用`...
本文将围绕“Windows下安卓证书生成命令”这一主题展开,详细解析如何利用Java自带的`keytool`工具来生成安卓应用所需的证书。 ### 一、安卓证书概述 在Android应用开发中,为了保证应用程序的安全性和完整性,...
- 使用keytool生成服务器的自我签名证书,通常包含服务器的公钥和标识信息。 - 命令示例: ``` keytool -genkeypair -alias server -keyalg RSA -keystore server.keystore -keysize 2048 ``` - 这里 `-alias`...
5. **操作命令**:KeyTool支持多种命令,如`keytool -genkeypair`用于生成密钥对,`keytool -importcert`用于导入证书,`keytool -list`用于查看密钥库内容等。 6. **GUI界面的优势**:图形界面使这些操作变得更加...
使用`keytool -genkey -alias serverkey -keystore kserver.keystore`命令,你可以生成一个名为`serverkey`的别名,存储在名为`kserver.keystore`的KeyStore文件中的服务器私钥。 2. **导出服务器证书**: `...