java常见证书类型和密钥库类型

最新推荐文章于 2024-02-19 12:19:22 发布
最新推荐文章于 2024-02-19 12:19:22 发布
阅读量3.2k 收藏 6
点赞数 1
分类专栏: 安全 文章标签: 证书、密钥

一 。证书类型

   1》证书概念:

      证书是对现实生活中 某个人或者某件物品的价值体现 比如古董颁发见证书 ,人颁发献血证等 通常证书会包含以下内容

证书拥有者名称(CN),组织单位(OU)组织(O),城市(L) 区(ST) 国家/地区( C )

      证书的过期时间 证书的颁发机构 证书颁发机构对证书的签名,签名算法,对象的公钥等

      数字证书的格式遵循X.509标准。X.509是由国际电信联盟(ITU-T)制定的数字证书标准。

   2》证书类型(表格采集自网络)

 

格式

扩展名

描述

特点

DER

.cer/.crt/.rsa

【ASN .1 DER】用于存放证书

不含私钥、二进制

PKCS7

.p7b/.p7r

【PKCS #7】加密信息语法标准

1、p7b以树状展示证书链,不含私钥
2、p7r为CA对证书请求签名的回复,只能用于导入

CMS

.p7c/.p7m/.p7s

【Cryptographic Message Syntax】

1、p7c只保存证书
2、p7m:signature with enveloped data
3、p7s:时间戳签名文件

PEM

.pem

【Printable Encoded Message】

1、该编码格式在RFC1421中定义,其实PEM是

【Privacy-Enhanced Mail】的简写,但他也同样广泛运用于密钥管理
2、ASCII文件
3、一般基于base 64编码

PKCS10

.p10/.csr

【PKCS #10】公钥加密标准【Certificate Signing Request】

1、证书签名请求文件
2、ASCII文件
3、CA签名后以p7r文件回复

SPC

.pvk/.spc

【Software Publishing Certificate】

微软公司特有的双证书文件格式,经常用于代码签名,其中
1、pvk用于保存私钥
2、spc用于保存公钥

 

 

二。密钥库类型

    1》秘钥库概念:所有的公钥和私钥同证书都会被存储在密钥库中 因为证书需要被签名 签名必须使用非对称加密算法+HASH算法 所以

   一般是MD5WithRSA或者 SHA1WithRSA (表格采集自网络)

 

格式

扩展名

描述

特点

JKS

.jks/.ks

【Java Keystore】密钥库的Java实现版本,provider为SUN

密钥库和私钥用不同的密码进行保护

JCEKS

.jce

【JCE Keystore】密钥库的JCE实现版本,provider为SUN JCE

相对于JKS安全级别更高,保护Keystore私钥

时采用TripleDES

PKCS12

.p12/.pfx

【PKCS #12】个人信息交换语法标准

1、包含私钥、公钥及其证书
2、密钥库和私钥用相同密码进行保护

BKS

.bks

【Bouncycastle Keystore】密钥库的BC实现版本,provider为BC

基于JCE实现

UBER

.ubr

【Bouncycastle UBER Keystore】密钥库的BC更安全实现版本,provider为BC

 

 

三。使用java的keytool生成证书

   生成证书以及证书对应的公钥和私钥都可以被存储在秘钥库中 同一个秘钥库中可以存储多个证书  秘钥库必须设置一个访问的口令 防止被盗

 证书中包含公钥 证书和私钥如果需要单独存储 需要分开在不同的文件 也可以放在同一个秘钥库中

 

 

  1. 秘钥库可以单独存储证书条目(trustedCertEntry) 表示信任的证书,

  2. 秘钥库可以存储生成的证书和私钥(PrivateKeyEntry)

 

 keytool /?查看所有的子命令

 

 

  1. C:\Users\jiaozi>keytool

  2. 密钥和证书管理工具

  3.  

  4. 命令:

  5.  

  6. -certreq 生成证书请求

  7. -changealias 更改条目的别名

  8. -delete 删除条目

  9. -exportcert 导出证书

  10. -genkeypair 生成密钥对

  11. -genseckey 生成密钥

  12. -gencert 根据证书请求生成证书

  13. -importcert 导入证书或证书链

  14. -importkeystore 从其他密钥库导入一个或所有条目

  15. -keypasswd 更改条目的密钥口令

  16. -list 列出密钥库中的条目

  17. -printcert 打印证书内容

  18. -printcertreq 打印证书请求的内容

  19. -printcrl 打印 CRL 文件的内容

  20. -storepasswd 更改密钥库的存储口令

   keytool -genkeypair /?查看genkeypair的子命令  

 

 

 

  1. C:\Users\jiaozi>keytool -genkeypair /?

  2. 非法选项: \a

  3. keytool -genkeypair [OPTION]...

  4. 生成密钥对

  5. 选项:

  6. -alias <alias> 要处理的条目的别名

  7. -keyalg <keyalg> 密钥算法名称

  8. -keysize <keysize> 密钥位大小

  9. -sigalg <sigalg> 签名算法名称

  10. -destalias <destalias> 目标别名

  11. -dname <dname> 唯一判别名

  12. -startdate <startdate> 证书有效期开始日期/时间

  13. -ext <value> X.509 扩展

  14. -validity <valDays> 有效天数

  15. -keypass <arg> 密钥口令

  16. -keystore <keystore> 密钥库名称

  17. -storepass <arg> 密钥库口令

  18. -storetype <storetype> 密钥库类型

  19. -providername <providername> 提供方名称

  20. -providerclass <providerclass> 提供方类名

  21. -providerarg <arg> 提供方参数

  22. -providerpath <pathlist> 提供方类路径

  23. -v 详细输出

  24. -protected 通过受保护的机制的口令

常用的命令

》》keytool -genkeypair -alias 被存储在秘钥库的证书名称  -keystore 证书的位置(默认当前工作目录下 文件名 .keystore)  -storepass 密钥库的口令

-validity 有效期的天数 -keypass 秘钥口令

例如(输入证书拥有者个人信息)

  keytool -genkeypair  -keystore c:/a.keystore -alias test

  再增加一个证书

  keytool -genkeypair  -keystore c:/a.keystore -alias test1

》》查看密钥库的证书列表(密续输入秘钥库的密码才能查看) java默认的密钥库为JKS

 

 

  1. keytool -list -keystore c:/a.keystore -storepass 123456

  2.  

  3. 密钥库类型: JKS

  4. 密钥库提供方: SUN

  5.  

  6. 您的密钥库包含 2 个条目

  7.  

  8. test, 2017-7-24, PrivateKeyEntry,

  9. 证书指纹 (SHA1): DD:34:11:3F:2C:D8:6B:4D:71:F5:C9:40:E9:91:7E:A9:9A:C5:9E:9D

  10. test1, 2017-7-24, PrivateKeyEntry,

  11. 证书指纹 (SHA1): C0:E8:B5:ED:0F:CD:95:4B:13:C3:19:78:AE:65:F1:A7:1E:63:E8:B9

》》导出证书到单独证书文件(可以导出别名为test或者test1的证书)

 

 

  1. C:\Users\jiaozi>keytool -exportcert -alias test -file c:/a.cer -keystore c:/a.k

  2. eystore -storepass 123456

  3. 存储在文件 <c:/a.cer> 中的证书

》》添加证书到秘钥库中

 

 

  1. C:\Users\jiaozi>keytool -importcert -alias test2 -file c:/a.cer -keystore c:/a.

  2. keystore -storepass 123456

  3. 在别名 <test> 之下, 证书已经存在于密钥库中

  4. 是否仍要添加? [否]: y

  5. 证书已添加到密钥库中

  6.  

  7. C:\Users\jiaozi>keytool -list -keystore c:/a.keystore -storepass 123456

  8. 密钥库类型: JKS

  9. 密钥库提供方: SUN

  10. 您的密钥库包含 3 个条目

  11. test, 2017-7-24, PrivateKeyEntry,

  12. 证书指纹 (SHA1): C0:E8:B5:ED:0F:CD:95:4B:13:C3:19:78:AE:65:F1:A7:1E:63:E8:B9

  13. test1, 2017-7-24, PrivateKeyEntry,

  14. 证书指纹 (SHA1): DD:34:11:3F:2C:D8:6B:4D:71:F5:C9:40:E9:91:7E:A9:9A:C5:9E:9D

  15. test2, 2017-7-24,trustedCertEntry ,

  16. 证书指纹 (SHA1): C0:E8:B5:ED:0F:CD:95:4B:13:C3:19:78:AE:65:F1:A7:1E:63:E8:B9

》》数据证书签发申请 csr

 首先 假设生成一个根证书  默认是自己颁发给自己也就是自签名证书

 

 

  1. C:\Users\jiaozi>keytool -genkeypair -keystore c:/root.keystopre

  2. 输入密钥库口令:

  3. 再次输入新口令:

  4. 您的名字与姓氏是什么?

  5. [Unknown]: jiaozi

  6. 您的组织单位名称是什么?

  7. [Unknown]: yt

  8. 您的组织名称是什么?

  9. [Unknown]: ytgroup

  10. 您所在的城市或区域名称是什么?

  11. [Unknown]: zh_CN

  12. 您所在的省/市/自治区名称是什么?

  13. [Unknown]: gd

  14. 该单位的双字母国家/地区代码是什么?

  15. [Unknown]: china

  16. CN=jiaozi, OU=yt, O=ytgroup, L=zh_CN, ST=gd, C=china是否正确?

  17. [否]: y

  18.  

  19. 输入 <mykey> 的密钥口令

  20. (如果和密钥库口令相同, 按回车):

  21.  

  22. C:\Users\jiaozi>keytool -list -keystore c:/root.keystopre

  23. 输入密钥库口令:

  24.  

  25. 密钥库类型: JKS

  26. 密钥库提供方: SUN

  27.  

  28. 您的密钥库包含 1 个条目

  29.  

  30. mykey, 2017-7-24, PrivateKeyEntry,

  31. 证书指纹 (SHA1): 0F:E3:40:B2:B8:D0:7A:D2:91:7D:CC:E5:38:16:96:D8:C8:FF:05:E0

使用该证书签发其他的证书

1》创建一个需要被root签名的证书 同上(默认的别名是mykey   输入名字和姓氏为p2p)

     keytool -genkeypair -keystore c:/my.keystopre

2》创建证书请求(也就是将my.keystore中创建的证书 进行签名请求  该文件时csr文件)

     keytool -certreq -alias mykey -keystore c:\my.keystore -file c:\my.csr

3》需要将my.csr 通过root.keystore证书签名 生成新的证书

   keytool -gencert -alias mykey -keystore c:\root.keystore -infile c:\my.csr -outfil
e c:\my.cer

    双击my.cer可以看到 确实是根证书的jiaozi颁发给了被签名证书的p2p

    

证书路径确没有显示正确的结构 应该是jiaozi下的子节点是p2p 这里是因为根节点没有被系统信任

需要将根证书导入到系统受信任的颁发机构中  以后所有根证书签发的证书都是被信任的 

导出root.keystore中的根证书 

 keytool -exportcert -keystore root.keystore -file c:\rootca.cer

设置如下:

打开chrome浏览器  选择 选项或者设置  点击高级   管理证书选项  点开 收信任的根证书颁发机构  点击左下角导入 下一步 选择 被签名的

导入成功后可以看到

》》给jar包签名(jarsigner -keystore c:\root.keystore 被签名jar的路径 keystore中的别名)

  jarsigner -keystore c:\root.keystore ref.jar mykey  签名后META-INF 会生成一些文件 其实就是对类进行的摘要 这个会直接在jar包本省签名

  -signedjar ref1.jar  可以指定生成一个新的jar包
  

》》其他命令 比如从密钥库删除条目等参考帮助

 

四。使用java编码操作证书和密钥库

 

  1. /**

  2. *java默认密钥库为jks 支持PKCS12,JCEKS等

  3. *JCEKS支持 秘钥 支持信任证书和私钥

  4. *JKS和PKCS支持信任证书和私钥 不支持单独秘钥

  5. * @throws NoSuchAlgorithmException

  6. */

  7. public static void main(String[] args) throws Exception {

  8. KeyStore keyStore = KeyStore.getInstance("JCEKS");

  9. keyStore.load(null,null);

  10. KeyGenerator keyGen = KeyGenerator.getInstance("AES");

  11. keyGen.init(128);//128, 192 or 256

  12. SecretKey sk=keyGen.generateKey();

  13. //单独只是存储一个秘钥 如果是JKS和PKCS 会抛出错误 不支持单独秘钥

  14. keyStore.setKeyEntry("key1", sk, "123456".toCharArray(), null);

  15. //存储信任的证书

  16. InputStream is=new FileInputStream("c:/a.cer");

  17. CertificateFactory cf = CertificateFactory.getInstance("X.509");

  18. X509Certificate cert = (X509Certificate)cf.generateCertificate(is);

  19. keyStore.setCertificateEntry("cert1", cert);

  20. //存储非对称加密的证书和私钥

  21. CertAndKeyGen gen = new CertAndKeyGen("RSA","SHA1WithRSA");

  22. gen.generate(1024);

  23. X509Certificate mycert=gen.getSelfCertificate(new X500Name("CN=ROOT"), (long)365*24*3600);

  24. PrivateKey pk=gen.getPrivateKey();

  25. keyStore.setKeyEntry("myrsa", pk, "123456".toCharArray(),new Certificate[]{ mycert});

  26. keyStore.store(new FileOutputStream("c:/ttt.keystore"), "123456".toCharArray());

  27. }

使用命令查看秘钥库

 

 

  1. C:\Users\jiaozi>keytool -list -keystore c:/ttt.keystore -storepass 123456 -storetype JCEKS

  2.  

  3. 密钥库类型: JCEKS

  4. 密钥库提供方: SunJCE

  5.  

  6. 您的密钥库包含 3 个条目

  7.  

  8. myrsa, 2017-7-24, PrivateKeyEntry,

  9. 证书指纹 (SHA1): 82:C1:A5:10:4A:B1:6A:DC:88:01:88:FF:79:73:B7:B0:47:B6:F1:95

  10. key1, 2017-7-24, SecretKeyEntry,

  11. cert1, 2017-7-24, trustedCertEntry,

  12. 证书指纹 (SHA1): C0:E8:B5:ED:0F:CD:95:4B:13:C3:19:78:AE:65:F1:A7:1E:63:E8:B9

 

代码猫
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wowza-letsencrypt-converter:让我们将证书加密为JKS并将域加密为Wowza Media Streaming Engine的密钥映射
05-02
wowza-letsencrypt-converter 一个简单的实用程序,用于将所有加密证书转换为JKS存储,并为Wowza Streaming Engine(4.5.0+)创建一个域到密钥的映射。 Wowza Streaming Engine可以在密钥映射文件更改时重新加载域映射的密钥,因此在证书续订(或添加或删除证书)之后运行此转换器实用程序将使运行中的服务器使用更新的证书重新初始化其证书存储。 编译 gradle jar 或从下载预编译的jar。 用法 java -jar wowza-letsencrypt-converter-0.2.jar [-v] < output> [ < letsencrypt> ] 就像在常见Linux系统中一样, letsencrypt-live-path参数默认为/ etc / letsencrypt
java 密钥_Java密钥的不同类型 -- 概述
weixin_29726381的博客
02-15 622
机器翻译Different types of keystore in Java -- OverviewJava密钥的不同类型-- 概述Keystore is a storage facility to store cryptographic keys and certificates. They are most frequently used in SSL communications to...
数据安全:证书密钥对概念详解
最新发布
十年运维开发经验的王义杰在此分享自己的知识和经验
02-19 606
在数字安全领域,证书密钥对(通常指公钥和私钥对)是确保信息安全、身份验证和数据完整性的基础。本文将深入探讨证书密钥对的概念、它们如何一起工作,以及在实际应用中的用途。
android 获取Android Studio的签名文件
大明1536
07-01 1866
1.获取Android Studio 默认的MD5和SHA1 $ keytool -list -v -keystore ~/.android/debug.keystore打印信息 ***************** WARNING WARNING WARNING ***************** * 存储在您的密钥中的信息的完整性 * * 尚未经过验证! 为了验证其完整性,
密钥格式梳理
Starr
02-04 2942
der\pem, crt/cer, x509
用keytool创建秘钥以及导入导出数字证书等操作
热门推荐
pucao_cug的专栏
04-11 1万+
用keytool创建秘钥以及导入导出数字证书等操作,包括:生成秘钥并创建一个条目、往已经存在的秘钥中添加条目、查看秘钥中的信息、导出数字证书文件、将数字证书导入到自己的JRE证书中、从JRE的证书中删除某个数字证书
密钥类型详解大全
weixin_43211186的博客
03-21 1921
0x01 生成随机密钥 随机密钥可以大大增加密钥的安全性,生成随机密钥这里要用到随机数生成器(RNG),是一个用于生成随机数的程序或硬件 随机数在密码学的很多算法中都是必不可少的,如果某些算法的密钥不能采用随机生成的方式,就会带来很大的安全问题,例如通过某种规律,攻击者可以进行猜测,碰撞等得到明文 在随机数生成中,通常用熵来表示随机数的随机性 熵:指某些物质系统状态的一种量度,某些物质系统状态可能出现的程度 (希腊语:entropia,英语:entropy)的概念是由德国物理学家..
Java可执行命令】(十一)Java 密钥证书管理工具keytool:玩转密钥证书管理,深入解析keytool工具的应用与技巧~
Technology changes the world of life
07-03 7078
Java的keytool命令是一个强大而灵活的工具,用于生成、导入、导出和管理密钥对和数字证书。它为Java开发人员提供了一种安全可靠的方式来保护应用程序和数据资源。通过遵循合适的使用和操作方法,可以确保密钥证书的安全性和完整性。有充分的理解和掌握keytool命令,可以更好地进行加密、身份验证和数据保护,并在安全意识和实践中取得成功。
常见密钥文件格式及证书格式
ssl vpn ------adito (ssl explorer) (openvpn als)&amp;amp;&amp;amp;网络安全
03-22 1万+
密钥文件格式【Keystore】格式扩展名描述特点JKS.jks/.ks【Java Keystore密钥Java实现版本,provider为SUN密钥和私钥用不同的密码进行保护JCEKS.jce【JCE Keystore密钥的JC
java jceks 密钥_Java不同类型密钥之PKCS12和JCEKS
weixin_36073697的博客
02-13 241
密钥是一个存放加密密钥证书的存储设施,它们经常用于SSL通信来标明服务器和客户机的身份,一个密钥可以是一份文件或硬件设备。Java中不同类型密钥 包含:PrivateKey、SecretKey、JKS、PKCS12、JCEKS等。其中JKS的详细介绍可参考《Java不同密钥类型之JKS 》。本文所讲诉的为 PKCS12和JCEKS的用法。以下为译文:JCEKSJCEKS 是Java平台...
java key 注册机
12-06
YourKit Java Profiler,注册机,破解: 使用方法: 用bat打开注册机,先点击patch按钮打补丁,选择yourkit安装目录下的/lib/yjp.jar然后确定,打补丁后生成注册码就可以了
IEDA破解下载keygen
02-12
可以用于java开发工具IDEA的破解,简单小巧,绝对好用!
Keygen java
12-11
intellij 13 Keygen,亲测可用
java源码包---java 源码 大量 实例
04-18
 Java生成密钥、保存密钥的实例源码,通过本源码可以了解到Java如何产生单钥加密的密钥(myKey)、产生双钥的密钥对(keyPair)、如何保存公钥的字节数组、保存私钥到文件privateKey.dat、如何用Java对象序列化保存私钥...
JAVA上百实例源码以及开源项目
01-03
 Java生成密钥、保存密钥的实例源码,通过本源码可以了解到Java如何产生单钥加密的密钥(myKey)、产生双钥的密钥对(keyPair)、如何保存公钥的字节数组、保存私钥到文件privateKey.dat、如何用Java对象序列化保存私钥...
java源码包2
04-20
 Java生成密钥、保存密钥的实例源码,通过本源码可以了解到Java如何产生单钥加密的密钥(myKey)、产生双钥的密钥对(keyPair)、如何保存公钥的字节数组、保存私钥到文件privateKey.dat、如何用Java对象序列化保存私钥...
java源码包3
04-20
 Java生成密钥、保存密钥的实例源码,通过本源码可以了解到Java如何产生单钥加密的密钥(myKey)、产生双钥的密钥对(keyPair)、如何保存公钥的字节数组、保存私钥到文件privateKey.dat、如何用Java对象序列化保存私钥...
java源码包4
04-20
 Java生成密钥、保存密钥的实例源码,通过本源码可以了解到Java如何产生单钥加密的密钥(myKey)、产生双钥的密钥对(keyPair)、如何保存公钥的字节数组、保存私钥到文件privateKey.dat、如何用Java对象序列化保存私钥...
java 操作ca证书
06-13
Java可以使用Java Keytool工具操作CA证书。以下是一些常见Java Keytool命令: 1. 生成自签名证书 ...以上命令中,-alias参数指定别名,-keystore参数指定密钥文件路径,-file参数指定导入/导出的证书文件路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值