如何用keytool工具导入私有密钥和自签发证书?

最新推荐文章于 2024-05-01 19:17:00 发布
最新推荐文章于 2024-05-01 19:17:00 发布
阅读量1.2k 收藏 1
点赞数
文章标签: java 操作系统
原文链接:http://www.cnblogs.com/yang-wu/archive/2012/12/02/2798212.html
版权

开发时我们常常使用JDK自带的keytool工具来创建自签发的证书,并保存到密钥库文件中。如果要把一个密钥库导入到另一个密钥库(比如到另一台机器上安装,同时又不想用覆盖文件的方式),那该怎么操作呢?

比如,我们从aaa.jks里把别名为tomcat的内容导入到bbb.jks里。一个错觉是先从aaa.jks导出证书、再导入到bbb.jks里。

为说明错误情况,我们从头做起。先生成别名为tomcat的证书,并保存到aaa.jks里:

keytool -keystore aaa.jks -genkey -keyalg RSA -alias tomcat

然后把证书导出到tomcat.cert文件:

keytool -keystore aaa.jks -export -file tomcat.cert -alias tomcat

接着把tomcat.cert导入到bbb.jks里:

keytool -keystore bbb.jks -import -file tomcat.cert -alias tomcat

 

为验证这种做法的错误性,我们可分别用aaa.jks和bbb.jks来启动Tomcat服务器,看看能不能启动成功。由于我们仅仅是出于验证的目的,因此无需在Tomcat的webapps目录里放进应用的war包文件。

先用aaa.jks来启动Tomcat。修改Tomcat的conf\server.xml文件为:

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"
               keystoreFile="aaa.jks"
               keystorePass="changeit" />

请把上面的aaa.jks输入为实际的全路径名(比如d:\aaa.jks)。完成后启动Tomcat,此时Tomcat应能够成功启动。

确认成功后请关闭Tomcat,接下来我们把上面的aaa.jks换为bbb.jks,保存后重新启动Tomcat。Tomcat将报异常:

严重: Failed to initialize connector [Connector[HTTP/1.1-8443]]
org.apache.catalina.LifecycleException: Failed to initialize component [Connector[HTTP/1.1-8443]]
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:106)
        at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.core.StandardServer.initInternal(StandardServer.java:814)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.startup.Catalina.load(Catalina.java:633)
        at org.apache.catalina.startup.Catalina.load(Catalina.java:658)
        at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
        at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
        at java.lang.reflect.Method.invoke(Method.java:597)
        at org.apache.catalina.startup.Bootstrap.load(Bootstrap.java:281)
        at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:450)
Caused by: org.apache.catalina.LifecycleException: Protocol handler initialization failed
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:983)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        ... 12 more
Caused by: java.io.IOException: Alias name tomcat does not identify a key entry
        at org.apache.tomcat.util.net.jsse.JSSESocketFactory.getKeyManagers(JSSESocketFactory.java:567)
        at org.apache.tomcat.util.net.jsse.JSSESocketFactory.getKeyManagers(JSSESocketFactory.java:505)
        at org.apache.tomcat.util.net.jsse.JSSESocketFactory.init(JSSESocketFactory.java:449)
        at org.apache.tomcat.util.net.jsse.JSSESocketFactory.createSocket(JSSESocketFactory.java:158)
        at org.apache.tomcat.util.net.JIoEndpoint.bind(JIoEndpoint.java:393)
        at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:610)
        at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:429)
        at org.apache.coyote.http11.AbstractHttp11JsseProtocol.init(AbstractHttp11JsseProtocol.java:119)
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:981)
        ... 13 more

为什么用bbb.jks启动不了呢?为此我们分别检查一下aaa.jks和bbb.jks里的内容。

下面是aaa.jks里的内容:

keytool -keystore aaa.jks -list -alias tomcat
输入keystore密码:
tomcat, 2012-12-2, PrivateKeyEntry,
认证指纹 (MD5): 20:E1:74:4B:0B:35:33:FF:BE:2D:9D:B5:31:AB:3B:DE

 下面是bbb.jks里的内容:

keytool -keystore bbb.jks -list -alias tomcat
输入keystore密码:
tomcat, 2012-12-2, trustedCertEntry,
认证指纹 (MD5): 20:E1:74:4B:0B:35:33:FF:BE:2D:9D:B5:31:AB:3B:DE

从上面两个输出中可见其差别,一个是PrivateKeyEntry,另一个是trustedCertEntry。

其实,密钥库里保存了两类信息,一类是私钥,另一类是证书。证书里只有公钥。上面导出的tomcat.cert文件为证书文件,里面没有私钥。因此当我们再导入到bbb.jks时,导进去的只有证书、没有对应的私钥。而服务器需要用私钥与客户端的公钥通讯,因此Tomcat报了上面的异常。

 

那么我们该如何正确操作呢?方法有很多,最常用的方法是不用keytool来生成证书和私钥,而改用openssl工具。不过本文的目的是只用keytool来操作。

其实操作很简单:

keytool -importkeystore -deststorepass changeit -destkeypass changeit -destkeystore bbb.jks -deststoretype jks -srckeystore aaa.jks -srcstoretype jks -srcstorepass changeit -alias tomcat

这个bbb.jks就包含了别名为tomcat的私钥和证书了。如果不放心可再用启动Tomcat的方法去验证一下。

最后要说明的是,如果在keytool中不指定storetype、srcstoretype、deststoretype参数则也默认为jks。

转载于:https://www.cnblogs.com/yang-wu/archive/2012/12/02/2798212.html

weixin_30823001
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jdk中密钥证书管理工具keytool常用命令详解
09-04
keytool JAVA是个密钥证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务
证书格式
tsimgsong
12-19 7605
REF:http://zxjgoodboy.blog.sohu.com/71003540.html cer后缀的证书文件有两种编码-->DER二进制编码或者BASE64编码(也就是.pem)p7b一般是证书链,里面包括1到多个证书pfx是指以pkcs#12格式存储的证书和相应私钥。在Security编程中,有几种典型的密码交换信息文件格式:DER-encoded certifica
Keytool-ImportKeyPair
gitblog_00008的博客
03-13 377
Keytool-ImportKeyPair Keytool-ImportKeyPair 是一个轻量级的命令行工具,用于将 PKCS12 格式的密钥导入Java keystore 中。 什么是 Keytool-ImportKeyPair? Keytool-ImportKeyPair 是一个基于 Java 的命令行工具,它提供了简单易用的接口,帮助开发者快速地将 PKCS12 格式的证书和私钥导...
Keytool与数字证书
11-14
Keytool与数字证书
使用keytool生成私钥private keykeystore文件
473687880
06-15 988
http://developer.android.com/guide/publishing/app-signing.html#ExportWizard中写到: keytool -genkey -v -keystore my-release-key.keystore-alias alias_name -keyalg RSA -keysize 2048 -validity 10000 其中ke...
privateKey直接导入Keystore工具
xtuxucj的专栏
08-11 2160
JDK自带的Keytool不能直接导入私钥到keystore。一般情况下要转换再用portecle或其他工具导入,其实也可以自己写java程序导入,不过每次用命令行业不方便,所以做了个简陋的swing程序专门导入私钥和证书链到Keystore.现在把代码贴出来,要的自己可以打包:一共有两个类组成,一个是界面,一个是导入程序。我不是做java开发的,高手见了勿喷:下载地址http://downloa
keytool创建秘钥库以及导入导出数字证书等操作
pucao_cug的专栏
04-11 1万+
keytool创建秘钥库以及导入导出数字证书等操作,包括:生成秘钥库并创建一个条目、往已经存在的秘钥库中添加条目、查看秘钥库中的信息、导出数字证书文件、将数字证书导入到自己的JRE证书库中、从JRE的证书库中删除某个数字证书
使用keytool将https证书导入JDK详情步骤
qq_45728838的博客
01-04 1485
比如使用JAVA设计邮箱需求,邮箱功能要对接163邮箱服务器的465端口进行邮件的发送,这时候就需要将163邮箱的https证书导入至JDK来支持邮件的发送。
https证书生成工具(openssl和jre(自带keytool)) for windows.rar
05-28
openssl和keytool都是生成https证书工具,可以在windows上安装使用,附带一些操作说明,希望可以帮助大家
Linux命令keytool命令 – 密钥证书管理工具.docx
08-07
Linux命令keytool命令 – 密钥证书管理工具
keytool - 密钥证书管理工具
05-30
NULL 博文链接:https://helloklzs.iteye.com/blog/1047793
KeyTool.GUI.1.6 证书密钥查看生成工具
09-01
使用keytool生成keystore密钥文件,并提取公钥和私钥,签名、验签。
热门推荐
Emine
05-03 3万+
1、使用生成keystore,路径d:/wymtest.keystore,如果不存在,自动创建;如果存在,则在其中添加 C:\Users&gt;keytool -genkey -alias test11 -keyalg RSA -keysize 1024 -keystore d:/wymtest.keystore -validity 4000 -validity参数可以指定所创建的证书有效...
java keystore 导入,在Java KeyStore中导入私钥/公钥证书对[重复]
weixin_33419305的博客
03-19 883
这个问题在这里已有答案:我使用以下步骤创建一个新的Java密钥库,其中包含一对私有/公共密钥,供Java(内部)服务器使用TLS . 请注意证书是自签名的:1)使用AES256生成密钥openssl genrsa -aes256 -out server.key 10242)为CA生成证书请求openssl req -x509 -sha256 -new -key server.key -out se...
C#(C Sharp)学习笔记_类【十五】
追求细节,成就完美
05-01 459
类(Class)是面向对象程序设计(OOP,Object-Oriented Programming)实现信息封装的基础。类是一种用户定义的引用数据类型,也称类类型。每个类包含数据说明和一组操作数据或传递消息的函数。类的实例称为对象。
链表刷题集
yajunjiao的专栏
04-30 618
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Spring Cloud——LoadBalancer
最新发布
????
05-01 1575
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1200
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合中的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合中的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
Java解决最长公共前缀
无人罪的博客
04-28 505
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
JDK自带工具keytool生成ssl证书具体操作
05-05
可以按照以下步骤使用 keytool 工具生成自签名的 SSL 证书: 1. 打开命令行窗口,并导航到 JDK 的 bin 目录下。 2. 输入以下命令以生成 SSL 证书: ```bash keytool -genkey -alias mydomain -keyalg RSA -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值