Java中的KeyStore和TrustStore以及 keytool 命令的使用

已于 2023-06-28 11:02:01 修改
阅读量5.4k 收藏 25
点赞数 5
文章标签: java https ssl
于 2022-06-30 16:19:14 首次发布
原文链接:https://www.goobye.net/showinfo-477-407962-0.html
版权

当应用需要使用SSL/TLS进行通信时,我们将会使用到密钥库(keystore)和信任库(truststore)。
在 JDK8 之前,这些文件的默认格式为 JKS;从 JDK9 开始,默认格式为PKCS12。

JKS 和 PKCS12 的区别是:JKS 是 Java 特有的格式,而 PKCS12(Public Key Cryptography Standards, 公钥加密标准)是存储加密的私钥和证书的标准规范与语言无关。

KeyStore-密钥库

KeyStore 存储一个私钥和一个相关的证书,或者相关的证书链(由客户证书和一个或多个证书颁发机构(CA)证书组成)。存储时,使用别名存储。它通常用于表明通信一方的身份。

比如服务器使用 HTTPS,在 SSL 握手期间,服务器从密钥库中查找私钥,并将其对应的公钥和证书提供给客户端。

一般都是单向认证,如果要双向认证,即验证客户端的身份,那么客户端也需要有一个密钥库,并提供它的公钥和证书。

TrustStore-信任库

TrustStore 则相反,密钥库通常用于保存标识自身身份的证书,而信任库用于保存识别他人(第三方)身份的证书,用于校验与我们通信的第三方是否可信。

上面的例子中,客户端接收到服务器证书,会在自己的信任库中查找相关联的证书,如果这个认证不在自己的信任库中,将会抛出 SSLHandshakeException,连接建立失败。

JDK 中有个默认的信任库 cacerts,它位于 $JAVA_HOME/jre/lib/security 目录中。我们通过java后台程序使用https去访问其他第三方终端时,就是用这个cacerts信任库来校验第三方终端发送过来的证书。

keytool 工具的使用

1.创建自签名 CA,指定私钥别名为 root

keytool -genkey -alias root -keypass 123456 -keystore ca.ks -storepass 123456 -dname "CN=ca-root,OU=ou-ca,O=o-	ca,L=BJ,ST=BJ,C=CN"

2.创建客户端/服务端密钥库,别名为 client/server

keytool -genkey -alias client -keystore client.ks
keytool -genkey -alias server -keystore server.ks

分别生成证书签名请求(CSR)

keytool -certreq -alias client -keystore client.ks -keyalg rsa –file client.csr
keytool -certreq -alias server -keystore server.ks -keyalg rsa –file server.csr

3.使用 ca.ks 中别名为 root 的私钥为客户端/服务端颁发证书

keytool -gencert -keystore ca.ks -alias root -infile client.csr/server.csr -outfile client.cer/server.cer

4.证书导入形成证书链
首先,从 ca.ks 中生成 ca 证书

keytool -export -keystore ca.ks -alias root -file ca.cer

接着,将 ca.cer 分别导入到客户端/服务端密钥库,别名 root

keytool -import -keystore client.ks/server.ks -file ca.cer -alias root

然后,将 ca.ks 颁发的证书分别导入到客户端/服务端密钥库

keytool -import -keystore client.ks -file client.cer -alias client
keytool -import -keystore server.ks -file server.cer -alias server

最后,查看验证客户端和服务端密钥库

keytool -list -v -keystore client.ks/server.ks

5.创建 TrustStore-信任库

keytool -import -file ca.cer -alias firstCA -keystore cacerts.ts

查看信任库内容,可以看到它没有私钥,只存 ca 证书。在使用时,信任库可以用密钥库代替。

Java SSL Socket 编程实例

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

转载自:https://www.goobye.net/showinfo-477-407962-0.html

Echoo华地
关注
  • 5
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java keystore导出.pfx .key .crt 私钥
06-22
Java KeyStore文件转换为微软的.pfx文件和OpenSSL的PEM格式文件(.key + .crt) 运行方式: JKS2PFX <KeyStore文件> <KeyStore密码> 别名> <导出文件名> [Java Runtime的目录] Java Runtime的目录,指包含Java.exe和...
证书生成(keystore、truststore、.crt、.key)。
leadseczgw01的博客
03-27 9019
1.keystore和truststore通过jdk的keytool生成即可;.crt和.key生成需要使用openssl。 2.生成keystore keytool -genkeypair -alias certificatekey -keyalg RSA -validity 365 -keystore tomcat.keystore 3.导出公钥证书 keytool -export -ali...
Java可执行命令】(十一)Java 密钥库和证书管理工具keytool:玩转密钥库和证书管理,深入解析keytool工具的应用与技巧~
Technology changes the world of life
07-03 7277
Javakeytool命令是一个强大而灵活的工具,用于生成、导入、导出和管理密钥对和数字证书。它为Java开发人员提供了一种安全可靠的方式来保护应用程序和数据资源。通过遵循合适的使用和操作方法,可以确保密钥和证书的安全性和完整性。有充分的理解和掌握keytool命令,可以更好地进行加密、身份验证和数据保护,并在安全意识和实践取得成功。
android签名.jks和.keystore文件有什么区别?
weixin_42504805的博客
03-22 409
4. 支持的算法不同:.jks文件支持更多的算法,包括AES、DES、Triple DES和RSA等,而.keystore文件只支持RSA算法。1. 格式不同:.jks文件是Java KeyStore格式,而.keystore文件是Java密钥库格式。2. 加密方式不同:.jks文件使用的是JCEKS加密方式,而.keystore文件使用的是JKS加密方式。3. 安全性不同:.jks文件的安全性更高,因为它使用了更强的加密方式。
java truststore创建_转/keystore和truststore的区别
weixin_31342203的博客
02-26 1397
keytooljava自带的工具用于产生密钥keystore可以看成一个放key的库,key就是公钥,私钥,数字签名等组成的一个信息。truststore是放信任的证书的一个store.那他们之间有啥关系和联系呢?在一个安全链接的模型又各自起到什么作用呢?其实我也没搞太清楚-_-b我先把目前的理解记下来,以后再慢慢修正这篇主要针对的是web应用,web应用一般是通过https,ssl来做客户端...
KeyStore 简述
O_o
07-14 3789
涉及 Java KeyStore.
SSL请求trustStore的两种注册方式
weixin_42189550的博客
12-28 1068
一个web应用如果需要提供以https的方式访问的服务的话,我们需要一个数字证书,这个证书的配置是在apache的配置文件或者其他web容器的配置文件进行配置的。当然这个可以保存在keystore。我们自己的应用通常所说的keystore或者truststore主要是针对于应用本身的需求来的。keystore和truststore从其文件格式来看其实是一个东西,只是为了方便管理将其分开,keystore一般保存的是我们的私钥,用来加解密或者为别人做签名,而truststore里存放的...
keyStore和truststore区别
热门推荐
yetugeng的专栏
08-04 1万+
一个web应用如果需要提供以https的方式访问的服务的话,我们需要一个数字证书,这个证书的配置是在apache的配置文件或者其他web容器的配置文件进行配置的。当然这个可以保存在keystore。 我们自己的应用通常所说的keystore或者truststore主要是针对于应用本身的需求来的。 keystore和truststore从其文件格式来看其实是一个东西,只是为了方便管理将其分...
Android KeyStore使用
augfun的博客
06-17 8263
先来看看官方对他的定义:AndroidKeystore系统可让您将加密密钥存储在容器,以使其更难从设备提取。一旦密钥进入密钥库,就可以将其用于加密操作,而密钥材料仍不可导出。而且,它提供了限制何时和如何使用密钥的功能,例如要求用户进行身份验证才能使用密钥,或者限制仅在某些加密模式下使用密钥。定义其实很简单,他就是用来保存加解密的Key和证书的。
Java KeyStore 文件生成
u011196623的专栏
06-13 2076
java keystore文件生成 ...
KEYTOOL
chiyonghuai5224的博客
11-27 345
Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥(key)和证书(certificates)存在一个称为keystore的文件。 在keystore里,包含两种数据: (1)密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥...
java jceks 密钥_Java不同类型的密钥库(Keystore) – 概述
weixin_31162865的博客
02-13 1120
阅读:877密钥库是用于存储加密密钥和证书的存储工具 ,最常用于SSL通信,以证明服务器和客户端的身份。密钥库可以是文件或硬件设备。有三种类型的条目可以存储在密钥库,取决于密钥库的类型,这三种类型的条目分别是:PrivateKey:用于非对称加密的密钥,通常由于其敏感性而受密码保护。它还可用于签署数字签名;Certificate证书:证书包含一个公钥,可以识别证书声明的主题 (Subject)...
导出JVM KeyStore私钥的Java程序
01-27
从code-google导出的源码,用于从JDK keytool创建的keystore导出私钥,通常用于nginx配置SSL使用
Android使用KeyStore对数据进行加密的示例代码
08-31
主要介绍了Android使用KeyStore对数据进行加密的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
keystore-explorer:KeyStore Explorer是Java命令行实用程序keytool和jarsigner的免费GUI替代品
04-12
密钥库资源管理器 KeyStore Explorer是Java命令行实用程序keytool和jarsigner的免费GUI替代品。 官方网站: : 特征: 在各种KeyStore类型之间创建,加载,保存和转换:JKS,JCEKS,PKCS#12,BKS(V1和V2)和UBER 更改密钥库和密钥库条目密码 删除或重命名KeyStore条目 剪切/复制/粘贴KeyStore条目 将证书附加到密钥对证书链 生成具有自签名X.509证书的RSA,ECC和DSA密钥对 将X.509证书扩展名应用于生成的密钥对和证书签名请求(CSR) 查看X.509证书,CRL和CRL条目X.509 V3扩展 以多种格式导入和导出密钥和证书:PKCS#12,PKCS#8,PKCS#7,DER / PEM X.509证书文件,Microsoft PVK,SPC,PKI路径,OpenSSL 生成,查看和签名
jks-js:从Java密钥库提取PEM证书,以便使用节点js安全地连接到基于Java的服务器
05-05
jks-js是到PEM证书的转换器,以便使用节点js安全地连接到基于Java的服务器。 安装 npm install jks - js 用法 ... const jks = require ( 'jks-js' ) ; const keystore = jks . toPem ( fs . readFileSync ( '...
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 481
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1560
c++string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 729
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
springboot的truststore
05-23
Spring Boot使用Truststore可以让我们对特定的HTTPS请求进行信任管理。Truststore是一个包含受信任证书的存储库,用于验证远程服务器的身份。我们可以在Spring Boot应用程序配置Truststore以确保我们的应用程序可以与特定的HTTPS服务进行安全通信。 以下是在Spring Boot应用程序配置Truststore的步骤: 1. 创建一个包含可信证书的Truststore文件,可以使用keytool命令创建: ``` keytool -import -file <certificate_file> -alias <alias_name> -keystore <truststore_file> ``` 2. 在application.properties或application.yml文件添加以下配置: ``` # application.properties server.ssl.trust-store=<truststore_file_path> server.ssl.trust-store-password=<truststore_password> # application.yml server: ssl: trust-store: <truststore_file_path> trust-store-password: <truststore_password> ``` 其,`<truststore_file_path>`是Truststore文件的路径,`<truststore_password>`是Truststore的密码。 配置完成后,Spring Boot应用程序将使用指定的Truststore文件来验证远程服务器的身份。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值