理解 Java 的 keytool 工具,如何使用 .crt 文件,解决证书相关问题

最新推荐文章于 2024-08-22 20:32:32 发布
最新推荐文章于 2024-08-22 20:32:32 发布
阅读量8.3k 收藏 12
点赞数 4
分类专栏: 安全防御 文章标签: keytool java keytool 证书维护 keystore https证书

文章目录


Java 的 keytool 工具可以用于 https 连接,能够只允许经过授权的客户访问。任意工具或者 Java 代码都可以使用一个安装好的证书来访问服务器。

Java keytool 是如何工作的

也许你想让你的服务器可以公开访问,但仅限于特定的团队或组织。
或者你为企业构建了一个基础设施并希望它是安全的。在这种情况下你就需要一些手段来控制谁可以使用特定的服务了。
诸如此类的资源应该保护起来以免受未经授权的使用,服务器和授权用户之间的通道必须是安全的。
Java keytool 允许我们给指定的 Java 客户端颁发证书以使其能够通过 https 来使用特定的服务器。这是一个完善的并易于使用的 Java 标准。
要获得使用特定服务的认证,客户端需要完成以下操作:
拿到服务端所期望的证书 (.crt 文件)。你可以向管理员要一下这个证书。

  • 将其添加到你的秘钥环:
keytool -import
  • 检查自定义的客户端工具的详细配置,如果有的话。

添加证书到 keystore

假定:

  • my.cert.location/my.cert.crt - 要安装的证书
  • “changeit” - 默认的 keystore 密码 (如果你没有设置过的话,java 给出的默认值就是这个)
  • 默认的 java keystore 位置 - $JAVA_HOME/jre/lib/security/cacerts
    将该证书添加到默认的 java 密钥环
keytool -import -file my.cert.location/my.cert.crt -storepass changeit -keystore $JAVA_HOME/jre/lib/security/cacerts -alias mycert1

要确认时回答 ‘yes’

列出 keystore 中的证书

列出 keystore 中的证书:

keytool -list -storepass changeit -keystore /opt/java/jre/lib/security/cacerts

输出类似于以下:

mycert1, May 10, 2010, trustedCertEntry,Certificate fingerprint (MD5): CA:3D:D3:68:F1:03:5C:D0:32:FA:B8:2B:59:E8:5A:DB verisigntsaca, Aug 13, 2008, trustedCertEntry,Certificate fingerprint (MD5): 7F:66:7A:71:D3:EB:69:78:20:9A:51:14:9D:83:DA:20 baltimorecodesigningca, May 10, 2002, trustedCertEntry,Certificate fingerprint (MD5): 90:F5:28:49:56:D1:5D:2C:B0:53:D4:4B:EF:6F:90:22
其中比较重要的部分为证书的别名 **alias**。你可以使用别名 **alias** 对证书进行导入和导出操作。

在 keystore 中,证书的唯一标识或者名字被称为别名 alias

要确认别名 alias 为 mykeylis 的证书是否已导入,使用:

keytool -list -storepass changeit -keystore /opt/java/jre/lib/security/cacerts |grep mykey1 -A1

以上命令将列出该证书所有的相关信息。
如果服务器没有找到该证书的话会给出以下信息:

sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
给出一台正常连接的客户端和一台无法连接到服务器的客户端,你可以通过以下方法去排查问题:
  • 对比各自证书的 MD5
  • 检查证书是否已安装
  • 导入缺失的证书
  • 打印证书内容

从 keystore 导出证书

keytool -exportcert -storepass changeit -keystore $JAVA_HOME/jre/lib/security/cacerts -alias mycert1 > my.cert.location/my.cert.1.crt

my.cert.1.crt 将被导重新导入到另一个秘钥环。

查看证书的更多信息

备注:示例使用上文已导出的同一个证书。

查看该证书的所有者、组织等信息可以使用以下命令:

keytool -printcert -file mycert.crt

将该证书从 keystore 移除

keytool -delete -storepass changeit -keystore $JAVA_HOME/jre/lib/security/cacerts -alias mycert1

非交互模式 (keytool 命令不询问)

这在 bash 脚本中很有用。使用 -noprompt 选项:

keytool -delete -storepass changeit -keystore $JAVA_HOME/jre/lib/security/cacerts -alias mycert1 -noprompt

原文链接:Understanding java keytool, working with .crt files, fixing certificate problems

Defonds
关注
专栏目录
java keytool安全证书学习
05-05
Java Keytool是一个强大的工具,主要用于管理和操作密钥对和数字证书,这些是Java安全框架中的核心元素。在Java Secure Socket Extension (JSSE) 中,它扮演着创建和管理KeyStore和TrustStore的角色,以实现SSL/TLS...
[重要]Java码验证keytool工具生成的密钥对
08-14
Java码验证keytool工具生成的密钥对是一个关键的安全操作,尤其在开发和部署SSL/TLS加密、Android应用签名或服务器身份验证等场景中。KeytoolJava Development Kit(JDK)自带的一个命令行工具,用于管理公钥/...
证书生成keystore、truststore、crt、key)
热门推荐
IT从业者
03-27 1万+
证书生成keystore、truststore、crt、key)
Java制作证书工具keytool用法总结
weixin_30642561的博客
06-24 514
一、keytool的概念   keytool 是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务。在JDK1.4以后的版本中都包含了这一工具,它的位置为%JAVA_HOME%\bin\keytool.exe,如下图所示:    二、keytool的用法    三、创建证书   创建...
证书学习(一)keytool 工具使用介绍
最新发布
ACGkaka的博客
08-22 1130
证书学习(一)keytool 工具使用介绍
Https 工具
Gblfy_Blog
05-13 1158
package com.gblfy.qywx.utils; import java.io.ByteArrayOutputStream; import java.io.DataOutputStream; import java.io.IOException; import java.io.InputStream; import java.net.URL; import java.security.KeyManagementException; import java.security.NoSuchAlgori
keytool证书生成与导入
anyx的专栏
09-24 6873
一、keytool位置 C:\Program Files\Java\jdk1.x.x_xx\bin 二、生成证书 keytool -genkey -alias sgkey -keyalg RSA -keysize 1024 -keypass 111111 -validity 365 -keystore d:\temp\cas\sg.keystore -storepass 111111
keytool
xx244的博客
03-04 4335
这里写自定义目录标题1.keytool的概念2.keytool命令2.1 创建证书库2.2 查看证书库2.3 导出证书文件2.4 导入证书文件证书库3.解决报错 1.keytool的概念 KeyToolJava中的数字证书管理工具,用于数字证书的申请、导入、导出和撤销等证书管理操作,位于<JAVA_HOME>\bin\keytool.exe 要获得数字证书,我们需要使用数字证书管理工具(如KeyTool和OpenSSL)构建CSR(Certificate Signing Request,数字
Java keytool命令说明
weixin_30552811的博客
03-24 83
Java keytool命令说明 Java 中的 keytool.exe (位于 JDK\Bin 目录下)可以用来创建数字证书,所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中,证书库中的一条证书包含该条证书私钥,公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件,数字证书文件只包括主体信息和对应的公钥。 Keytool是一个Java数据证书的管理工...
keytool生成证书
01-02
KeytoolJava提供的一款工具,主要用于管理密钥对(公钥和私钥)以及数字证书,它允许用户创建、存储和管理这些安全组件。在本主题中,我们将深入探讨如何使用keytool生成证书及其相关概念。 首先,让我们了解什么...
JAVA keytool数字证书生成及应用
03-20
Java的`keytool`工具Java Development Kit (JDK) 中的一个重要组件,主要用于管理和操作密钥对(公钥和私钥)以及数字证书。它提供了在本地系统中创建、导入、导出、查看和管理这些安全凭证的功能,这对于开发和...
JDK  keytool证书工具功能码解析
08-19
JDK的keytool工具Java开发工具包中用于管理和操作密钥对以及数字证书的命令行工具。它在网络安全和HTTPS通信中起着至关重要的作用,因为这些通常依赖于SSL/TLS协议,而该协议需要公钥基础设施(PKI)中的证书来...
JDK导入crt格式证书
酷狗蛋的博客
06-13 767
keytool -import -trustcacerts -alias tomcat -file server.crt -keystore $JAVA_HOME/lib/security/cacerts -storepass changeit
[笔记] keytool 导入服务器证书证书私钥
永远相信美好的事情即将发生
06-28 613
我当前手头已有一个服务器证书和对应的私钥,现在需要转换为 Java KeyStore 格式使用,找了一大圈才发现 keytool 无法直接导入服务器证书私钥,当然证书可以直接导入,但是私钥是无法直接导入。找了一大圈发现可以先将服务器证书证书私钥转为 PKCS12 格式的密钥库,然后通过 PKCS12 格式证书转为 Java KeyStore 格式。
ssl java 客户端_Java SSL生成客户端和服务端crt文件
weixin_39532019的博客
02-16 281
简述:SSL(百度百科)Secure Socket Layer 安全套接层, 是为网络通信提供安全以及数据完整性的一种安全协议,在传输层对网络连接进行加密SSL协议分为两层:1)SSL记录协议,它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。2)SSL握手协议,它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份验证、协商加密算法、交...
Keytool生成证书
constant_rain的博客
09-24 6440
一、生成证书 keytool -genkey -alias 别名 -keyalg RSA -keysize 1024(密钥位数) -keypass 密码 -validity 365(默认90天) -keystore server.keystore -storepass 密码 二、查看证书 详细输出:keytool -list -v -keystore server.keystore -storepass 密码 RFC样式输出:keytool -list -rfc -keystore server.keyst
使用Java自带的keytool命令
xiaojunhu的专栏
02-21 5949
使用Java自带的keytool命令,在命令行生成。  1、生成服务器端私钥kserver.keystore文件    keytool -genkey -alias serverkey -validity 1 -keystore kserver.keystore  2、根据私钥,导出服务器端安全证书  keytool -export -alias serve
java 数字证书keytool用法
ssl vpn ------adito (ssl explorer) (openvpn als)&amp;amp;&amp;amp;网络安全
04-16 1170
 java数字证书keytool用法2009-06-1421:05Java 中的 keytool.exe (位于 JDK/Bin 目录下)可以用来创建数字证书,所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中,证书库中的一条证书包含该条证书私钥,公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件,数字证书文件只包
Keytool生成数字证书 + Tomcat https 配置
幽灵 逐梦--专栏
08-16 6744
参考:http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html            https://baike.baidu.com/item/https/285356            https://www.cnblogs.com/xmqa/p/7601635.html HTTPS(全称:Hyper Text ...
keytool解析crt文件
07-27
回答: keytoolJava开发工具包中的一个命令行工具,用于管理Java密钥库和证书。它可以用来解析.crt文件,但是.crt文件本身只包含证书,不包含私钥。如果你只有一个.crt文件,没有密钥密码或其他信息,那么你无法使用keytool来解析它。通常,使用keytool来解析.crt文件需要同时拥有相应的私钥和密钥库文件。如果你只有.crt文件,你可能需要使用其他工具或方法来解析它。 #### 引用[.reference_title] - *1* [https加密解密过程二、名词解析及文件生成](https://blog.csdn.net/qq13933506749/article/details/128116035)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [java 携带.crt证书 发送https请求](https://blog.csdn.net/weixin_40816738/article/details/128328087)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [keytool命令详解 自签名证书](https://blog.csdn.net/u011077027/article/details/100731436)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值