由于前段时间在研究itext技术中的签章技术中遇到了数字签名的问题,需要用到p12证书,因此就撰写一篇用我们jdk自带的keytool 工具生成p12证书的方法供各位交流。
- keytool 简介
keytool 是java 用于管理密钥和证书的工具.
其功能包括:- 创建并管理密钥
- 创建并管理证书
- 作为CA 为证书授权
- 导入导出证书
主要格式
keytool 采用 keystore 文件来存储密钥及证书,其中可包括私钥、信任证书;
keystore 文件主要使用 JKS格式(也可支持其他格式),带密钥存储;其中私钥的存储也有独立的密码;
其他格式
下面我们就通过jdk自带的keytool来生成一个p12证书
- 首先我们打开dos命令窗口,然后将路径切换到你安装jdk的bin目录文件下,如下图所示:
- 接下来,我们就可以在该目录下面使用命令来生成一个p12证书了。步骤如下:
1. 生成私钥和证书
1)我们首先执行如下命令:
keytool -genkeypair -alias serverkey -keyalg RSA -keysize 2048 -validity 3650 -keystore tomatocc.keystore
参数说明
- storepass keystore 文件存储密码
- keypass 私钥加解密密码
- alias 实体别名(包括证书私钥)
- dname 证书个人信息
- keyalt 采用公钥算法,默认是DSA
- keysize 密钥长度(DSA算法对应的默认算法是sha1withDSA,不支持2048长度,此时需指定RSA)
- validity 有效期
- keystore 指定keystore文件
2)执行完上述指令后,会提示我们输入一些信息,我们按照提示输入即可,具体信息如下图:
-
我们注意一下最后一行: 输入的密钥口令,这里因为我们在上面设置了一个密钥库的口令,因此这里的口令如果和上面设置的口令一样的话,就直接回车就好,如果两个口令不一样,那么我们可以直接输入,然后回车就好。
3)然后我们打开jdk的bin目录,就可以看到我们生成的私钥。
2. 查看keystore详情
1)我们执行如下命令,然后输入密钥库口令再回车,就可以看到我们的keystore详情
keytool -v -list -keystore tomatocc.keystore
3. 证书导入导出
1)我们将我们生成的密钥信息导出为.cer格式的证书。我们执行下面命令,输入密钥库口令即可。
keytool -exportcert -keystore tomatocc.keystore -file tomatocc.cer -alias serverkey
- 然后我们就可以在bin文件下看到我们刚才导出的tomatocc.cer证书文件了。
2)将证书导入到密钥库,一般为导入信任证书(SSL客户端使用,我们这里用不到,可以忽略),我们可以执行如下指令,然后输入密钥库口名再回车即可。
keytool -importcert -keystore client_trust.keystore -file tomatocc.cer -alias client_trust_server -noprompt
然后我们就可以在bin文件下看到我们刚才导出的client_trust.keystore密钥文件了。
- 将.cer格式的证书转换为p12证书
1)现在,我们将我们生成的.cer格式的证书转为换.p12格式的证书。我们执行下面命令,输入目标密钥库口令和源密钥库口令即可。(目标密钥库口令指的是,我们要为.p12证书设置的口令,而源密钥库口令则指的是我们最初为.cer证书设置的密钥库口令)
keytool -importkeystore -srckeystore tomatocc.keystore -destkeystore tomatocc.p12 -srcalias serverkey -destalias serverkey -srcstoretype jks -deststoretype pkcs12 -noprompt
然后我们就可以在bin文件下看到我们刚才导出的tomatocc.p12证书文件了。
到这里为止。我们就完成了一个.p12证书生成的全部流程
欢迎关注本人个人公众号,交流更多技术信息