您当前的位置:首页 > 电脑百科 > 程序开发 > 语言 > JAVA

程序员必备工具 Java证书工具Keytool的使用

时间:2020-07-31 11:04:16  来源:  作者:
程序员必备工具 Java证书工具Keytool的使用

 

一、简介

Keytool是JDK自带的证书管理工具,在jdk/bin目录下,可以用来生成自签名证书、导入导出证书、打印证书信息等。

回顾下前一章的一些概念:

  • PKI:公钥基础设施
  • X.509 : PKI事实上的标准
  • CSR:向CA申请证书的签名请求文件,用ASN.1标准描述
  • 证书链:证书之间的上下级信任关系
  • 根证书:证书链的最顶层
  • DER:证书二进制格式
  • BER:DER的一个子集
  • CER:一般用于windows的证书文件格式
  • CRT:一般用于linux的证书,包含公钥和主体信息
  • pem:Base64编码的DER证书
  • p12:证书交换格式,把证书和密钥(公钥+私钥)打包在一起,可以再加一层保护(.pkcs12 .pfx .p12)
  • JKS:JAVA支持的证书格式。
  • BKS:Android/ target=_blank class=infotextkey>安卓无法直接支持JKS,使用的是BKS类型证书。
  • Keystore:Keytool将密钥和证书存在一个称为keystore的文件中,包含密钥实体和可信任的证书实体。

二、Java证书工具Keytool的使用

2.1 生成自签名证书.jks

创建一个名为myjks的证书,存放在teststore.jks的密钥库中。

keytool -genkeypair  -alias myjks -keysize 2048 -keyalg RSA -validity 3650 -keystore teststore.jks -storetype JKS 
  • - genkeypair: 生成公私钥对条目,私钥不可见,公钥会以证书格式保存在keystore中。
  • - alias: 指定别名,区分不同条目,默认mykey,每个keystore关联一个alias
  • - keysize: 密钥长度
  • - keyalg: 公私钥算法
  • - validity: 证书过期时间
  • - keystore: 指定存储密钥的位置,不指定的话会生成到用户目录
  • - storetype: 密钥库类型 JKS PKCS等
程序员必备工具 Java证书工具Keytool的使用

 

  • 实际使用时名称与姓氏填域名信息;
  • 先输入的是keystore密钥库的口令。

2.2 导出自签名证书

keytool -export -alias myjks -keystore teststore.jks -file myjks.crt
程序员必备工具 Java证书工具Keytool的使用

 

这个证书就可以分发给客户端使用。

2.2 查看证书信息

keytool -list -v -keystore teststore.jks
程序员必备工具 Java证书工具Keytool的使用

 

2.3 显示证书内容

keytool -list -rfc -keystore teststore.jks -storepass 12345678
程序员必备工具 Java证书工具Keytool的使用

 

2.4 导出cer证书

keytool -alias myjks -exportcert -keystore teststore.jks -file teststore.cer
程序员必备工具 Java证书工具Keytool的使用

 

双击证书,可以查看cer内容,点安装证书就可以导入根证书。

程序员必备工具 Java证书工具Keytool的使用

 

2.5 导出公钥

keytool -list -rfc --keystore teststore.jks | openssl x509 -inform pem -pubkey
程序员必备工具 Java证书工具Keytool的使用

 

三、生成一个根证书来签发二级证书

3.1 生成证书签名请求文件CSR

keytool -certreq -alias myjks -keystore teststore.jks -file teststore.csr
程序员必备工具 Java证书工具Keytool的使用

 

3.2 使用自签名证书作为CA根证书,模拟CA给CSR签发证书

生成模拟CA的密钥对

keytool -genkeypair -alias rootca -keysize 2048 -keyalg RSA -validity 3650 -keystore rootstore.jks -storetype JKS
程序员必备工具 Java证书工具Keytool的使用

 

  • 用CA的私钥签名后与myjks的公钥生成一个证书:
keytool -gencert -alias rootca -keystore rootstore.jks -infile teststore.csr -outfile teststore_new.crt
程序员必备工具 Java证书工具Keytool的使用

 

可以看到teststore_new.crt的签发人已经变了:

程序员必备工具 Java证书工具Keytool的使用

 

3.3 将二级证书导回teststore库中

keytool -import -v -alias rootca -file teststore_new.crt -keystore teststore.jks
程序员必备工具 Java证书工具Keytool的使用

 

这时证书链会发生变化 :

keytool -list -v -keystore teststore.jks
程序员必备工具 Java证书工具Keytool的使用

 

这时可以把root证书导出给客户端内置,服务端绑定二级证书,这样客户端验证时可以用根证书验证二级证书。大部分程序直接使用一级的自签名证书即可,但若需要双向验证,服务端验证客户端时不同客户端最好使用服务端的rootca私钥来签发,这样服务端可以直接用一个rootca的证书验证。实现了动态扩展且客户端的证书不同。

3.4 从teststore导出rootca证书

keytool -export -alias rootca -keystore teststore.jks -file rootca.crt
程序员必备工具 Java证书工具Keytool的使用

 

四、Keytool其它常用命令

// 以rfc模式打印,即base64可见字符,与pem编码格式一样。 -v为详细输出
keytool -printcert -rfc -file rootca.crt

// 删除密钥库中的条目
keytool -delete -alias rootca -keystore teststore.keystore

// 修改证书库密码,输入旧密码或加参数 -storepass 111111
keytool -storepasswd -new 123456 -keystore truststore

// 修改某条目密码
keytool -keypasswd -alias myCA -keypass 654321 -new newpass -storepass 123456 -keystore myCALib


Tags:Keytool   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、简介Keytool是JDK自带的证书管理工具,在jdk/bin目录下,可以用来生成自签名证书、导入导出证书、打印证书信息等。回顾下前一章的一些概念: PKI:公钥基础设施 X.509 : PKI事...【详细内容】
2020-07-31  Tags: Keytool  点击:(31)  评论:(0)  加入收藏
▌简易百科推荐
一、Redis使用过程中一些小的注意点1、不要把Redis当成数据库来使用二、Arrays.asList常见失误需求:把数组转成list集合去处理。方法:Arrays.asList 或者 Java8的stream流式处...【详细内容】
2021-12-27  CF07    Tags:Java   点击:(3)  评论:(0)  加入收藏
文章目录 如何理解面向对象编程? JDK 和 JRE 有什么区别? 如何理解Java中封装,继承、多态特性? 如何理解Java中的字节码对象? 你是如何理解Java中的泛型的? 说说泛型应用...【详细内容】
2021-12-24  Java架构师之路    Tags:JAVA   点击:(5)  评论:(0)  加入收藏
大家好!我是老码农,一个喜欢技术、爱分享的同学,从今天开始和大家持续分享JVM调优方面的经验。JVM调优是个大话题,涉及的知识点很庞大 Java内存模型 垃圾回收机制 各种工具使用 ...【详细内容】
2021-12-23  小码匠和老码农    Tags:JVM调优   点击:(11)  评论:(0)  加入收藏
前言JDBC访问Postgresql的jsonb类型字段当然可以使用Postgresql jdbc驱动中提供的PGobject,但是这样在需要兼容多种数据库的系统开发中显得不那么通用,需要特殊处理。本文介绍...【详细内容】
2021-12-23  dingle    Tags:JDBC   点击:(12)  评论:(0)  加入收藏
Java与Lua相互调用案例比较少,因此项目使用需要做详细的性能测试,本内容只做粗略测试。目前已完成初版Lua-Java调用框架开发,后期有时间准备把框架进行抽象,并开源出来,感兴趣的...【详细内容】
2021-12-23  JAVA小白    Tags:Java   点击:(10)  评论:(0)  加入收藏
Java从版本5开始,在 java.util.concurrent.locks包内给我们提供了除了synchronized关键字以外的几个新的锁功能的实现,ReentrantLock就是其中的一个。但是这并不意味着我们可...【详细内容】
2021-12-17  小西学JAVA    Tags:JAVA并发   点击:(10)  评论:(0)  加入收藏
一、概述final是Java关键字中最常见之一,表示“最终的,不可更改”之意,在Java中也正是这个意思。有final修饰的内容,就会变得与众不同,它们会变成终极存在,其内容成为固定的存在。...【详细内容】
2021-12-15  唯一浩哥    Tags:Java基础   点击:(14)  评论:(0)  加入收藏
1、问题描述关于java中的日志管理logback,去年写过关于logback介绍的文章,这次项目中又优化了下,记录下,希望能帮到需要的朋友。2、解决方案这次其实是碰到了一个问题,一般的情况...【详细内容】
2021-12-15  软件老王    Tags:logback   点击:(17)  评论:(0)  加入收藏
本篇文章我们以AtomicInteger为例子,主要讲解下CAS(Compare And Swap)功能是如何在AtomicInteger中使用的,以及提供CAS功能的Unsafe对象。我们先从一个例子开始吧。假设现在我们...【详细内容】
2021-12-14  小西学JAVA    Tags:JAVA   点击:(21)  评论:(0)  加入收藏
一、概述观察者模式,又可以称之为发布-订阅模式,观察者,顾名思义,就是一个监听者,类似监听器的存在,一旦被观察/监听的目标发生的情况,就会被监听者发现,这么想来目标发生情况到观察...【详细内容】
2021-12-13  唯一浩哥    Tags:Java   点击:(16)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条