用keytool创建秘钥库以及导入导出数字证书等操作

数字证书 同时被 2 个专栏收录
2 篇文章 0 订阅
1 篇文章 0 订阅


1生成秘钥库并创建一个条目

2往已经存在的秘钥库中添加条目

3查看秘钥库中的信息

4导出数字证书文件

5将数字证书导入到自己的JRE证书库中

6从JRE的证书库中删除某个数字证书

7其他说明

 

1、生成秘钥库并创建一个条目

        秘钥需要存储在秘钥库中,秘钥库可以理解为一个存储了一个或多个秘钥的文件。一个秘钥库可以存储多个密钥对,每个秘钥对你都需要给他们取一个名字。

        因为不存储任何条目的秘钥库是没有意义的,所以我们在生成秘钥库的时候需要指定一个条目,如果不指定,默认是的条目名称是mykey

        我们在D:\keystore目录下生成一个文件名为cjTomcat.keystore的秘钥库,因为这个文件是第一次生成,必须同时生成一个条目,我决定将该秘钥库存储的第一个秘钥对的条目取名为testcj。命令是:

 keytool  -genkey  -keystore  "D:\keystore\hellocj.keystore"   -alias  testcj   -keyalg   RSA   -validity  365

如图:


命令敲完回车之后,需要我们依次输入一串信息,分别是秘钥库的密码、名字和姓氏等,

如图:

      上图中红框中的都是手动敲入的内容。名字和姓氏这里一般是填写一个域名,我这里填写的是 localhost,我的秘钥库口令使用的是hellocj

在上图中敲入y回车之后

如图:

      如果你想让名为testcj的这个条目的秘钥口令和秘钥库的口令一样,直接回车即可,我这里让此条目的秘钥口令为testcj,所以我输入testcj

如图:

   

好了我们的秘钥库创建好了,秘钥库中也添加了一个名为testcj的条目,秘钥库的密码是hellocj,testcj这个条目对应的秘钥口令是testcj

      说明:如果觉得一步一步的输入很不科学的话,可以使用下面的命令完成上述全部操作:

keytool   -genkey   -keystore  "D:\keystore\hellocj.keystore"   -alias   testcj   -keyalg   RSA   -validity  365      -dname  "CN=localhost, OU=org, O=org.cj, L=昆明, ST=云南, C=中国"   -keypass  testcj  -storepass   hellocj

如图:

 

2、往已经存在的秘钥库中添加条目

         在第1章节讲的是创建一个秘钥库文件,并添加一个初始化条目,那么如果秘钥库文件已经存在,我们想往里面添加条目怎么办。例如我想往里面添加名为cjTomcat的条目,给该条目设置的口令是helloworld 那么我的命令是:

 keytool    -genkey   -keystore   "D:\keystore\hellocj.keystore"    -alias     "cjTomcat"       -keyalg   "RSA"   -validity  365  -dname  "CN=127.0.0.1,OU=org, O=org.cj, L=昆明, ST=云南, C=中国"  -keypass   "helloworld" -storepass  "hellocj"

   如图:

 

3、查看秘钥库中的信息

  好了我现在有一个秘钥库了,我知道该秘钥库的口令,我想看看该秘钥库里存了啥,命令是:

 keytool   -list  -v  -keystore  D:\keystore\hellocj.keystore   -storepass   "hellocj" 

如图:



  回车后,可以看到cmd屏幕输出了如下信息:

 



4、导出某个条目的数字证书文件

        好了,秘钥库也有了,条目也有了,我想将条目名为cjTomcat的相关信息以及公钥导出到一个数字证书文件中,数字证书文件名称我取名为cjTomcat.cer,命令如下:

keytool   -alias  "cjTomcat"   -exportcert   -keystore    D:\keystore\hellocj.keystore    -file  D:\keystore\cjTomcat.cer   -storepass   "hellocj"

导出成功

如图:

 

 

可以双击打开cjTomcat.cer文件,看看

如图:

 

5、将数字证书导入到自己的JRE证书库中

数字证书中存储的一般是某个服务器的域名和公钥,服务器证书需要导入到客户端的JRE中,我将刚才生成的cjTomcat.cer这个证书视为服务器相关的信息。现在我要将条目名为cjTomcat的数字证书导入到我本地的JRE受信任的证书库中,导入命令是:

keytool    -import     -alias    "cjTomcat"    -keystore   C:\Java\jdk1.8.0_40\jre\lib\security\cacerts   -file   D:\keystore\cjTomcat.cer    -trustcacerts    -storepass    changeit

      说明:changeitcacerts这个证书库的默认口令,因为我们需要操作cacerts这个证书库文件,所以需要输入该证书库的密码,C:\Java\jdk1.8.0_40\jre需要替换为你自己的JRE目录

回车之后,会询问是否信任cjTomcat.cer中存储的证书

如图:

    输入y回车

如图:


6、从JRE的证书库中删除某个数字证书

       条目名为cjTomcat的这个数字证书我不想再信任他,我要从我本地的JRE证书库中删除他,命令是:

keytool   -delete     -alias      "cjTomcat"      -keystore           "C:\Java\jdk1.8.0_40\jre\lib\security\cacerts"       -storepass   changeit

      说明:changeitcacerts这个证书库的默认口令,因为我们需要操作cacerts这个证书库文件,所以需要输入该证书库的密码,C:\Java\jdk1.8.0_40\jre需要替换为你自己的JRE目录

 

如图:

 

7、其他说明

           上面命令中的参数不一一解释,很多都很直观,简单说明一下-alias指定条目名称,-keyalg   "RSA"指定加密算法用RSA,-keystor指定秘钥库文件,如果目录有空格,那么请使用双引号。-validity 365指定有效期是365天。秘钥库的后缀名可以用任意名称,或者干脆不要后缀名也是可以的。



  • 6
    点赞
  • 2
    评论
  • 6
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页

打赏作者

陈南志

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值