java import 别名_程序员必备工具 Java证书工具Keytool的使用

最新推荐文章于 2024-01-29 10:14:13 发布
最新推荐文章于 2024-01-29 10:14:13 发布
阅读量1k 收藏
点赞数
文章标签: java import 别名 java 怎么读取pem文件里的公钥 java实现根据csr生成证书 java导出mpp格式 java读取pem格式私钥 keytool生成证书
c3ad8769fe396d24c0e6dafaebed93ef.png

一、简介

Keytool是JDK自带的证书管理工具,在jdk/bin目录下,可以用来生成自签名证书、导入导出证书、打印证书信息等。

回顾下前一章的一些概念:

  • PKI:公钥基础设施
  • X.509 : PKI事实上的标准
  • CSR:向CA申请证书的签名请求文件,用ASN.1标准描述
  • 证书链:证书之间的上下级信任关系
  • 根证书:证书链的最顶层
  • DER:证书二进制格式
  • BER:DER的一个子集
  • CER:一般用于windows的证书文件格式
  • CRT:一般用于Linux的证书,包含公钥和主体信息
  • pem:Base64编码的DER证书
  • p12:证书交换格式,把证书和密钥(公钥+私钥)打包在一起,可以再加一层保护(.pkcs12 .pfx .p12)
  • JKS:Java支持的证书格式。
  • BKS:安卓无法直接支持JKS,使用的是BKS类型证书。
  • Keystore:Keytool将密钥和证书存在一个称为keystore的文件中,包含密钥实体和可信任的证书实体。

二、Java证书工具Keytool的使用

2.1 生成自签名证书.jks

创建一个名为myjks的证书,存放在teststore.jks的密钥库中。

keytool -genkeypair  -alias myjks -keysize 2048 -keyalg RSA -validity 3650 -keystore teststore.jks -storetype JKS
  • - genkeypair: 生成公私钥对条目,私钥不可见,公钥会以证书格式保存在keystore中。
  • - alias: 指定别名,区分不同条目,默认mykey,每个keystore关联一个alias
  • - keysize: 密钥长度
  • - keyalg: 公私钥算法
  • - validity: 证书过期时间
  • - keystore: 指定存储密钥的位置,不指定的话会生成到用户目录
  • - storetype: 密钥库类型 JKS PKCS等
14fca1f1132d37ad15e875747cb84714.png
  • 实际使用时名称与姓氏填域名信息;
  • 先输入的是keystore密钥库的口令。

2.2 导出自签名证书

keytool -export -alias myjks -keystore teststore.jks -file myjks.crt
55426f49758ea34799eb0ffe9e2349a2.png

这个证书就可以分发给客户端使用。

2.2 查看证书信息

keytool -list -v -keystore teststore.jks
67837b0632ade7588315742289616e36.png

2.3 显示证书内容

keytool -list -rfc -keystore teststore.jks -storepass 12345678
2b5ca554fa422f2cf09727aa6af229cc.png

2.4 导出cer证书

keytool -alias myjks -exportcert -keystore teststore.jks -file teststore.cer
2ca8124271aac9b8d4e23c4d6823e018.png

双击证书,可以查看cer内容,点安装证书就可以导入根证书。

13735f722947ff80a9929adc81e400a7.png

2.5 导出公钥

keytool -list -rfc --keystore teststore.jks | openssl x509 -inform pem -pubkey
a9292ff979cbf97914978ea6d4f2c7f1.png

三、生成一个根证书来签发二级证书

3.1 生成证书签名请求文件CSR

keytool -certreq -alias myjks -keystore teststore.jks -file teststore.csr
e36c10c72901d935d6360f8424dd53cb.png

3.2 使用自签名证书作为CA根证书,模拟CA给CSR签发证书

生成模拟CA的密钥对

keytool -genkeypair -alias rootca -keysize 2048 -keyalg RSA -validity 3650 -keystore rootstore.jks -storetype JKS
31283f740418de203b797eb5a835676c.png
  • 用CA的私钥签名后与myjks的公钥生成一个证书:
keytool -gencert -alias rootca -keystore rootstore.jks -infile teststore.csr -outfile teststore_new.crt
fd8b93211985bfd64296694d564199c4.png

可以看到teststore_new.crt的签发人已经变了:

8b511a629e78b6eb134677291a10d75f.png

3.3 将二级证书导回teststore库中

keytool -import -v -alias rootca -file teststore_new.crt -keystore teststore.jks
d64b2e6182e8af0a6536a3bf774703a7.png

这时证书链会发生变化 :

keytool -list -v -keystore teststore.jks
03305c00f63f741735ad5a267f3c1d2e.png

这时可以把root证书导出给客户端内置,服务端绑定二级证书,这样客户端验证时可以用根证书验证二级证书。大部分程序直接使用一级的自签名证书即可,但若需要双向验证,服务端验证客户端时不同客户端最好使用服务端的rootca私钥来签发,这样服务端可以直接用一个rootca的证书验证。实现了动态扩展且客户端的证书不同。

3.4 从teststore导出rootca证书

keytool -export -alias rootca -keystore teststore.jks -file rootca.crt
37a49d32546488e7db03f3dae055e649.png

四、Keytool其它常用命令

// 以rfc模式打印,即base64可见字符,与pem编码格式一样。 -v为详细输出keytool -printcert -rfc -file rootca.crt// 删除密钥库中的条目keytool -delete -alias rootca -keystore teststore.keystore// 修改证书库密码,输入旧密码或加参数 -storepass 111111keytool -storepasswd -new 123456 -keystore truststore// 修改某条目密码keytool -keypasswd -alias myCA -keypass 654321 -new newpass -storepass 123456 -keystore myCALib
weixin_39721953
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java别名,Java包导入别名
weixin_33252868的博客
02-13 1282
Is it possible in Java to import packages and give this package import a specific name?I currently have a class, which uses some DTO's from a backend and a service package. In both packages the DTO's ...
Java开发者必备的六款工具
06-13
Java开发者必备的六款工具 xmlmarker_1_1_setup sqldeveloper portecle-1.7 Notepad_6.7.9 KeyTool_GUI_1.6 工具和教程 jad v1.5.8g eclipse 官网:http://www.eclipse.org/downloads/
HTTPS安全通讯 4. Keytool工具使用
编程圈子-谢厂节的博客
07-30 485
HTTPS安全通讯 4. Keytool工具使用一、简介二、Java证书工具Keytool使用2.1 生成自签名证书`.jks`2.2 导出自签名证书2.2 查看证书信息2.3 显示证书内容2.4 导出`cer`证书2.5 导出公钥三、生成一个根证书来签发二级证书3.1 生成证书签名请求文件`CSR`3.2 使用自签名证书作为`CA`根证书,模拟`CA`给`CSR`签发证书生成模拟CA的密钥对3.3 将二级证书导回teststore库中3.4 从teststore导出rootca证书四、Keytool其它
相关ssl 证书校验工具
很爱惜头发的博客
11-05 318
https://www.myssl.cn/tools/check-server-cert.html
使用openssl 工具生成 rsa及ecdsa证书链,公钥,私钥,签名,验证,root CA,证书链,中间证书验证
weixin_43398250的博客
03-14 1470
使用openssl 工具生成 rsa及ecdsa证书链,公钥,私钥,签名,验证,root CA,证书链,中间证书验证 openssl rsa ecdsa public key private key chain signature
Spring学习笔记(别名,导入,依赖注入)
taptap小木剑工作室
04-01 773
关于beans注入的笔记
java源码:密钥管理工具 Keytool-IUI.zip
10-13
java源码:密钥管理工具 Keytool-IUI.zip
基于Java的密钥管理工具 Keytool-IUI.zip
06-17
基于Java的密钥管理工具 Keytool-IUI.zip
基于java的密钥管理工具 Keytool-IUI.zip
05-28
基于java的密钥管理工具 Keytool-IUI.zip
java keytool gui 图形工具 portecle-1.7.zip
12-25
java keytool gui 图形工具 portecle-1.7.zip Portecle 是一个图形化界面的 JDK 中的命令行工具 keytool ,可生成各种不同类型的密钥库,生成并存储相关的 X.509 证书、生成 CSRs、导入和储存信任的证书并进行维护。...
证书链验证(国密)
最新发布
一个认真摸鱼的商用密码从业人员
01-29 1194
国密证书链验证
java 8 学习笔记(二): java import
墨流觞的博客
09-25 223
java源代码中,import声明是可选的。那为何要在java中引入import声明呢? it makes your life easier, 可以少写一些代码,并且使你的代码更整洁和易读。 在import声明里,你会告知java编译器,你从某一特定的软件包里引入一个或多个类。无论何时你用一个类型(类, 接口或枚举),你都需要使用完全限定名(fully qualified name),而 imp...
JAVA-包的命名和导入
PMP4674687的博客
04-14 850
1、包的定义 如果要定义一个包,可以使用package关键字完成,“包.类”。 一旦程序中定义完了一个包之后就可以通过以下的命令进行编译:javac -d . Hello.Java ·-d:表示将根据package的定义生成文件夹 ·.:表示在当前所在的文件夹之中生成*.class 但是,访问的时候必须连包一起访问:Java 包.Hello
SM2证书链验证(P7B)【含资源!见页首】
这么小声还想开军舰?!
12-11 928
由上图可见,根证书于子级CA证书之前被导出,我们的证书验证模块读取顺序为先读取子级证书,再读取上级证书。故将导出的证书反序进入证书验签模块,即可完成对于证书链中每个证书的数字签名的验证。如图上所示,证书链中每个整数的基本证书域Tbs、签名值sign域能够借由上级证书的公钥实现验证,那么关于证书链中证书本身字段的合规性,以及根证书的真实性验证,可以查看。再为文件添加上-----BEGIN PKCS7-----,-----END PKCS7-----;SM2证书验证全过程见[GMSSL系列4]SM2证书验证。
java package 简写
系统运维
03-10 357
简单理解为: model=entity=po(persistant object) vo=dto (value object = data transfer object) 可以用于分页、密码验证
商用密码数字证书合格检测工具
baikeley74的博客
08-06 3818
SM2数字证书,充分借鉴与吸收了X509数字证书的格式与优点,在考虑RSA算法的优缺点之后,推出的基于商密公钥算法的SM2证书规范,至此,商密算法的数字证书在商用密码应用安全性评估中成为了必须要检测的一个重要环节。 身份认证中数字证书使用的正确、有效、合规;在密码产品如VPN中数字证书使用是否正确、有效与合规;在WEB站点中提供HTTPS服务的数字证书使用是否正确、有效与合规。都可以通过该工具进行合规性检测。...
keytool生成自签名证书或CA根证书
weixin_40857858的博客
08-18 1622
1、keytool生成自签名证书 @echo on #1.生成密匙库 keytool -genkeypair -keyalg RSA -dname "CN=localhost" -alias client -keystore client.jks -keypass cccccc -storepass cccccc #2.导出条目为自签名证书 keytool -exportcert -file client.cer -alias client -keystore client.jks -storepass c
理解Javaimport
howard_shooter的博客
10-09 5283
3、import导入包,程序中,指定类名,可以省略类名前的报名部分,import导入类,程序中,仍然要指定类名,可以省略类名前的部分。4、 源码中import了这个包或者包的类,编译和运行时还需要这个包所在的jar才行,需要下载和指定所在目录。//导入类,导入LocalPortForwarder类的内嵌类Parameters。//导入包,导入其中的所有类。//没有import
java https证书_java请求https证书异常
05-13
可以使用 keytool 工具来完成此操作。例如: keytool -importcert -alias mycert -file mycert.cer -keystore cacerts 其中 mycert.cer 是你要导入的证书文件。 2. 禁用证书验证 在测试期间,可以将证书验证禁用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值