***JKS:***数字证书库。JKS里有KeyEntry和CertEntry,在库里的每个Entry都是靠别名(alias)来识别的。
P12:是PKCS12的缩写。同样是一个存储私钥的证书库__,由.jks**文件导出的,用户在PC平台安装,用于标示用户的身份。
***CER:***俗称数字证书,目的就是用于存储公钥证书,任何人都可以获取这个文件 。
BKS:由于Android平台不识别.keystore__和.jks**格式的证书库文件,因此Android平台引入一种的证书库格式,BKS。
有些人可能有疑问,为什么Tomcat只有一个server.keystore文件,而客户端需要两个库文件?
因为有时客户端可能需要访问过个服务,而服务器的证书都不相同,因此客户端需要制作一个truststore来存储受信任的服务器的证书列表。因此为了规范创建一个truststore.jks用于存储受信任的服务器证书,创建一个client.jks来存储客户端自己的私钥。对于只涉及与一个服务端进行双向认证的应用,将server.cer导入到client.jks中也可。
1.生成客户端keystore
keytool -genkeypair -alias client -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore client.jks
2.生成服务端keystore
keytool -genkeypair -alias server -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore server.keystore
//注意:CN必须与IP地址匹配,否则需要修改host
3.导出客户端证书
keytool -export -alias client -file client.cer -keystore client.jks -storepass 123456
4.导出服务端证书
keytool -export -alias server -file server.c