一、keytool的概念
keytool 是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务。在JDK 1.4以后的版本中都包含了这一工具,它的位置为%JAVA_HOME%\bin\keytool.exe,如下图所示:
二、keytool的用法
三、创建证书
创建证书主要是使用" -genkeypair",该命令的可用参数如下:
范例:生成一个名称为test1的证书
Cmd代码
1 keytool -genkeypair -alias "test1" -keyalg "RSA" -keystore "test.keystore"
功能:
创建一个别名为test1的证书,该证书存放在名为test.keystore的密钥库中,若test.keystore密钥库不存在则创建。
参数说明:
-genkeypair:生成一对非对称密钥;
-alias:指定密钥对的别名,该别名是公开的; -keyalg:指定加密算法,本例中的采用通用的RAS加密算法;
-keystore:密钥库的路径及名称,不指定的话,默认在操作系统的用户目录下生成一个".keystore"的文件
注意:
1.密钥库的密码至少必须6个字符,可以是纯数字或者字母或者数字和字母的组合等等
2."名字与姓氏"应该是输入域名,而不是我们的个人姓名,其他的可以不填
执行完上述命令后,在操作系统的用户目录下生成了一个"test.keystore"的文件,如下图所示:
四、查看密钥库里面的证书
范例:查看test.keystore这个密钥库里面的所有证书
Cmd代码
1 keytool -list -keystore test.keystore
五、导出到证书文件
范例:将名为test.keystore的证书库中别名为test1的证书条目导出到证书文件test.crt中
Cmd代码
1 keytool -export -alias test1 -file test.crt -keystore test.keystore
运行结果:在操作系统的用户目录(gacl)下生成了一个"test.crt"的文件,如下图所示:
六、导入证书
范例:将证书文件test.crt导入到名为test_cacerts的证书库中
Cmd代码:
1 keytool -import -keystore test_cacerts -file test.crt
七、查看证书信息
范例:查看证书文件test.crt的信息
Cmd代码:
1 keytool -printcert -file "test.crt"
八、删除密钥库中的条目
范例:删除密钥库test.keystore中别名为test1的证书条目
Cmd代码:
1 keytool -delete -keystore test.keystore -alias test1
九、修改证书条目的口令
范例:将密钥库test.keystore中别名为test2的证书条目的密码修改为xdp123456
Cmd代码:
1 keytool -keypasswd -alias test2 -keystore test.keystore
import java.io.FileInputStream; import java.security.KeyStore; import java.security.PrivateKey; import java.security.PublicKey; import java.security.cert.Certificate; import java.security.cert.CertificateFactory; import javax.crypto.Cipher; // 公钥加密,私钥解密示例程序 public class A { public static void main(String[] args) throws Exception { // 前提:JDK已安装且正确配置环境变量 // 首先在C盘建立目录 MyKeyStore,用来存放证书库以及导出的证书文件,然后在命令行执行下列2句 // 下句含义:在当前目录创建 TestStore 密钥库,库密码 aaaaaa ,创建证书 TestKey2 :非对称密钥,RSA 算法,key密码为 bbbbbb ,存于 TestStore // C:/MyKeyStore > keytool -genkey -alias TestKey2 -dname "CN=test222" -keyalg RSA -keystore TestStore -storepass aaaaaa -keypass bbbbbb // 下句含义:将 TestStore 库中的 TestKey2 导出为证书文件 TestKey2.cer ,这里可能需要将 export 修改为 exportcert // C:/MyKeyStore > keytool -export -alias TestKey2 -file TestKey2.cer -keystore TestStore -storepass aaaaaa // 证书库证书保存证书的公私钥,导出的证书文件只携带公钥 byte[] msg = "犯大汉天威者,虽远必诛!".getBytes("UTF8"); // 待加解密的消息 // 用证书的公钥加密 CertificateFactory cff = CertificateFactory.getInstance("X.509"); FileInputStream fis1 = new FileInputStream("C://MyKeyStore//TestKey2.cer"); // 证书文件 Certificate cf = cff.generateCertificate(fis1); PublicKey pk1 = cf.getPublicKey(); // 得到证书文件携带的公钥 Cipher c1 = Cipher.getInstance("RSA/ECB/PKCS1Padding"); // 定义算法:RSA c1.init(Cipher.ENCRYPT_MODE, pk1); byte[] msg1 = c1.doFinal(msg); // 加密后的数据 // 用证书的私钥解密 - 该私钥存在生成该证书的密钥库中 FileInputStream fis2 = new FileInputStream("C://MyKeyStore//TestStore"); KeyStore ks = KeyStore.getInstance("JKS"); // 加载证书库 char[] kspwd = "aaaaaa".toCharArray(); // 证书库密码 char[] keypwd = "bbbbbb".toCharArray(); // 证书密码 ks.load(fis2, kspwd); // 加载证书 PrivateKey pk2 = (PrivateKey)ks.getKey("TestKey2", keypwd); // 获取证书私钥 fis2.close(); Cipher c2 = Cipher.getInstance("RSA/ECB/PKCS1Padding"); c2.init(Cipher.DECRYPT_MODE, pk2); byte[] msg2 = c2.doFinal(msg1); // 解密后的数据 // 打印解密字符串 - 应显示 犯大汉天威者,虽远必诛! System.out.println(new String(msg2,"UTF8")); // 将解密数据转为字符串 } } // 附:DES算法:DES/CBC/PKCS5Padding
可以生成jks私钥和cer证书的.bat文件,copy代码到txt即可
REM # create keystore file keytool -genkey -dname "CN=test Bank, OU=test, O=test, L=Shenzhen, ST=Shenzhen, C=CN" -alias testmer -keyalg RSA -keysize 1024 -keystore testmer.jks -keypass 12345678 -storepass 12345678 -validity 365
REM # export cert file keytool -export -alias testmer -file testmer.cer -keystore testmer.jks -storepass 12345678