使用keytool进行数字证书管理

keytool是java自带的数字证书管理工具，可以进行一系列的证书管理操作，例如：数字证书的申请、导入、导出和撤销。

在cmd中输入keytool命令查看有关keytool的命令提示：

相比openssl，keytool的中文提示还是比较不错的哈！（英文不好的路过）

1、构建自签名证书

使用-genkeypair进行秘钥与证书的管理，该命令可以生成*.keystore格式的数字证书，详细命令参数如下

在这里我们使用“www.yezi.org”作为别名，使用RSA作为加密算法，并规定密钥长度为2048（一般1024就可以了，目前非对称秘钥可以解到七百多位），使用SHA1withRSA作为数字签名算法，该证书的有效期为36000天，实现命令如下：

keytool -genkeypair -keyalg RSA -keysize 2048 -sigalg SHA1withRSA -validity 36000 -alias www.yezi.org -keystore d:/keystore/yezi.keystore

其中：

那个您的名字与姓氏要填你自己服务器的域名，注意！是域名！！不能使IP！！！

我们也可以使用 -dname指定用户信息，方式如下：

keytool -genkeypair -keyalg RSA -keysize 2048 -sigalg SHA1withRSA
-validity 36000 -alias www.yezi.org -keystore d:/keystore/yezi.keystore -dname "CN=www.yezi.org, OU=yezi, O=yezi, L=sz, ST=gd, C=cn"

2、导出数字证书

有了数字证书（尽管没有被CA认证，但是可以先用着），我们就需要将数字证书导出，格式为*.cer，命令参数如下：

根据刚才生成的keystore证书，我们导出cer证书，实现如下：

keytool -exportcert -alias www.yezi.org -keystore d:/keystore/yezi.keystore -file d:/keystore/yezi.cer -rfc

在这里我们可以使用 -storepass参数指定证书所使用的密码

keytool -exportcert -alias www.yezi.org -keystore d:/keystore/yezi.keystore -file d:/keystore/yezi.cer -rfc -storepass 123456

生成了数字证书，我们可以使用-printcert命令打印出证书的相关信息

打印数字证书命令参数

到此为止，我们使用keytool生成了两个数字证书，一个是keystore格式的，一个cer格式的，他们都没有经过CA机构认证，没有任何的法律效力，但是可以正常使用的，比如，把keystore格式的证书导入Tomcat中，cer格式的证书导入浏览器中，或是使用cer证书构建Java Https请求，这都是Https单项认证。

3、构建CA签发证书

如果哪一天，我们需要一个CA机构认证过的数字证书（产品上线的话就会了，总不能让客户手动往浏览器添加cer证书吧），我们就需要生成CA数字证书签发申请（CSR），该证书格式为*.csr

有关生成证书请求的命令参数如下：

在这里我们依旧依靠keystore证书来生乘csr

keytool -certreq -alias www.yezi.org -keystore d:/keystore/yezi.keystore -file d:/keystore/yezi.csr -v

还是比较人性化的，还有提示。

4、导入证书信任库

获得CA签发的数字证书后，我们需要将其导入到信任库，使用的命令为-importcert，参数如下：

具体实现如下：

keytool -importcert -trustcacerts -alias www.yezi.org -file d:/keystore/yezi.cer -keystore d:/keystore/yezi.keystore

5、查看证书命令

keytool -list -alias www.yezi.org -keystore d:/keystore/yezi.keystore

OK，完成了，截了一大堆的图，现在麻烦，都是为了以后的方便嘛，哈哈