keytool、keystore、jarsigner、生成自签名证书

desert3

浏览: 2158583 次
性别:
来自: 合肥

最近访客更多访客>>

chengdou237

wukong0188

novagx

bijian1013

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

Security
Java

Keytool是Java的密钥和数字证书管理工具，位于JDK_HOME\Bin目录下。它使用户能够管理自己的密钥对及相应证书，允许用户以证书形式发布他们的公钥信息给通信用户。发布的证书用以保护用户数据的完整性和真实性，完整性的意思是数据没有被修改或损坏过，真实性的意思是数据的确是来自声称创建了该数据和对它进行了签名的实体。

Keytool创建的证书是以别名的形式存放在证书库（keystore）中，证书库中的一条证书包含私钥，公钥和相应的主体信息。证书库中的一条证书可以导出为数字证书文件，导出的数字证书文件只包括主体信息和对应的公钥。

常用操作：

生成自签名证书：keytool -genkey -alias casdemo -keyalg RSA -keysize 1024 -storepass P@ssw0rd -keypass P@ssw0rd -validity 365 -keystore E:\WorkRecords\CAS\casdemo.keystore

查看证书库证书：缺省情况下，-list 命令打印证书的 MD5 指纹。而如果指定了-v 选项，将以可读格式打印证书，如果指定了-rfc 选项，将以可打印的编码格式输出证书。

删除证书库证书：keytool -delete -alias casdemo -keystore E:\WorkRecords\CAS\casdemo.keystore -storepass P@ssw0rd
导出证书库证书：keytool -export -alias casdemo -keystore E:\WorkRecords\CAS\casdemo.keystore -file E:\WorkRecords\CAS\casdemo.crt -storepass P@ssw0rd

查看导出的证书信息：keytool -printcert -file E:\WorkRecords\CAS\casdemo.crt

修改证书库访问密码：keytool -storepasswd -keystore E:\WorkRecords\CAS\casdemo.keystore -storepass sP@ssw0rd -new P@ssw0rd
修改证书库指定证书的密码（私钥）：keytool -keypasswd -alias casdemo -keystore E:\WorkRecords\CAS\casdemo.keystore -storepass P@ssw0rd -keypass kP@ssw0rd -new P@ssw0rd
导入证书：keytool -import -alias casdemo -keystore %JAVA_HOME%\jre\lib\security\cacerts -file E:\WorkRecords\CAS\casdemo.crt

java自带的证书库

常用参数：

-alias 别名，证书库中的每条证书以别名来区分，这个alias通常不区分大小写。
-keystore 证书库文件路径和名字
-keyalg 指定生成密钥对的算法(如RSA DSA，默认值为：DSA)
-keysize 指定密钥长度（默认 1024）
-validity 指定创建的证书有效期多少天(默认 90)
-storepass 指定证书库的访问密码
-keypass 指定证书库中指定条目证书的私钥密码
-dname 表示证书的Distinguished Names发行者信息。其中"CN=commonName证书名（一般是网站的域名）,OU=organizationUnit组织单位名称,O=organizationName组织名称,L=localityName城市或区域名,S=stateName州或省份名称,C=country两位的母国家代码"
-file 导出的证书位置（包含公钥和主题信息的证书）
-v 显示证书库中的证书详细信息
-rfc 以可打印的编码格式输出证书详细信息

相关参数默认值：

-alias "mykey"
-keyalg "DSA"
-keysize 1024
-validity 90
-keystore the file named .keystore in the user's home directory
-file stdin if reading, stdout if writing
The signature algorithm (-sigalg option) is derived from the algorithm of the underlying private key: If the underlying private key is of type "DSA", the -sigalg option defaults to "SHA1withDSA", and if the underlying private key is of type "RSA", -sigalg defaults to "MD5withRSA".

Keystore在java中的实现:
Keytool类位于java.security包下,提供一个非常好的接口去取得和修改一个keystore中的信息. 目前有两个命令行:keytool和jarsinger,一个GUI工具Policy 可以实现keystore.由于keystore是公开的,用户可以用它写一些额外的安全应用程序.
Keystore还有一个sun公司提供的內在实现.它把keystore作为一个文件来实现.利用了一个keystore类型(格式)"JKS".它用单独的密码保护每一个私有钥匙.也用可能不同的密码保护整个keystore的完整性.

Keystore证书库中有两种不同类型的项：
　　密钥项 - 每项存放极为敏感的加密密钥信息，这种信息以一种受保护的格式储存以防止未授权的访问。通常，储存在这类项中的密钥是机密密钥，或是伴有用于认证相应公钥用的证书“链”的私钥。keytool 和 jarsigner 工具只处理后一类型的项，即私钥及其关联的证书链。
　可信任的证书项 - 每项包含一个属于另一团体的公钥证书。它之所以叫做“可信任的证书”，是因为密钥仓库的拥有者相信证书中的公钥确实属于证书“主体”（拥有者）识别的身份。证书签发人通过对证书签名来保证这点。

证书：（也叫公钥证书）是来自某个实体（签发人）的经数字签名的声明，它声明另一实体（主体）的公钥（及其它信息）具有某一特定的值。

公钥: 是与特定实体相关联的数字。所有需要与该实体进行信任交互的人都应知道该数字。公钥用于校验签名。
数字签名: 如果某些数据经数字签名，说明它们已与某一实体的“身份”存储在一起，而且证明该实体的签名知道这些数据。通过用该实体的私钥进行绘制，这些数据就是不可伪造的了。
签名: 用实体私有钥匙加密某些消息，从而得到加密数据;
私钥: 是一些数字,私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中.公共钥匙用来加密数据，私有钥匙用来计算签名.公钥加密的消息只能用私钥解密，私钥签名的消息只能用公钥检验签名。
实体: 一个实体可以是一个人,一个组织,一个程序,一台计算机,一个商业,一个银行,或其他你想信任的东西.

jarsigner 工具利用证书库中的信息来产生或校验 Java 存档 (JAR) 文件的数字签名（JAR 文件将类文件、图象、声音和/或其它数字化数据打包在一个文件中）。jarsigner 用 JAR 文件所附带的证书（包含于 JAR 文件的签名块文件中）来校验 JAR 文件的数字签名，然后检查该证书的公钥是否“可信任”，即是否包括在指定的证书库中。

keytool 和 jarsigner 工具完全取代了 JDK 1.1 中提供的 javakey 工具。这些新工具所提供的功能比 javakey 提供的多，包括能够用口令来保护证书库和私钥，以及除了能够生成签名外还可以校验它们。新的证书库体系结构取代了 javakey 所创建和管理的身份数据库。可以利用 -identitydb keytool 命令将信息从身份数据库导入证书库。

参考：
java keytool证书工具使用小结
Java keytool命令说明
keytool密钥和证书管理工具-使用详解(整理)
jdk1.4.2 keytool
jdk1.6 keytool
jdk1.7 keytool