HTTPS安全通讯 4. Keytool工具使用

最新推荐文章于 2024-01-29 10:14:13 发布
最新推荐文章于 2024-01-29 10:14:13 发布
阅读量479 收藏 1
点赞数
分类专栏: # 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xundh/article/details/107689810
版权

HTTPS安全通讯 4. Keytool工具使用

一、简介

Keytool是JDK自带的证书管理工具,在jdk/bin目录下,可以用来生成自签名证书、导入导出证书、打印证书信息等。

回顾下前一章的一些概念:

  • PKI:公钥基础设施。
  • X.509 : PKI事实上的标准。
  • CSR:向CA申请证书的签名请求文件,用ASN.1标准描述。
  • 证书链:证书之间的上下级信任关系。
  • 根证书:证书链的最顶层。
  • DER:证书二进制格式。
  • BER:DER的一个子集。
  • CER:一般用于windows的证书文件格式,俗称的证书,证书里只有公钥没有私钥。
  • CRT:一般用于Linux的证书,包含公钥和主体信息。
  • pem:Base64编码的DER证书。
  • p12:证书交换格式,把证书和密钥(公钥+私钥)打包在一起,私钥是加密的。文件格式一般有:.pkcs12 .pfx .p12。
  • JKS:Java支持的证书格式,可以容纳很多公钥与私钥,是一个密钥库。
  • BKS:安卓无法直接支持JKS,使用的是BKS类型证书。
  • Keystore:Keytool将密钥和证书存在一个称为keystore的文件中,包含密钥实体和可信任的证书实体。
  • truststore:表示信任证书存储库,仅包含了通信对方的公钥。

二、Java证书工具Keytool的使用

2.1 生成自签名证书.jks

创建一个名为myjks的证书,存放在teststore.jks的密钥库中。

keytool -genkeypair  -alias myjks -keysize 2048 -keyalg RSA -validity 3650 -keystore teststore.jks -storetype JKS
  • - genkeypair: 生成公私钥对条目,私钥不可见,公钥会以证书格式保存在keystore中。
  • - alias: 指定别名,区分不同条目,默认mykey,每个keystore关联一个alias
  • - keysize: 密钥长度
  • - keyalg: 公私钥算法
  • - validity: 证书过期时间
  • - keystore: 指定存储密钥的位置,不指定的话会生成到用户目录
  • - storetype: 密钥库类型 JKS PKCS等

在这里插入图片描述

  • 实际使用时名称与姓氏填域名信息;
  • 先输入的是keystore密钥库的口令。

2.2 导出自签名证书

keytool -export -alias myjks -keystore teststore.jks -file myjks.crt

在这里插入图片描述
这个证书就可以分发给客户端使用。

2.2 查看证书信息

keytool -list -v -keystore teststore.jks

在这里插入图片描述

2.3 显示证书内容

keytool -list -rfc -keystore teststore.jks -storepass 12345678

在这里插入图片描述

2.4 导出cer证书

keytool -alias myjks -exportcert -keystore teststore.jks -file teststore.cer

在这里插入图片描述

双击证书,可以查看cer内容,点安装证书就可以导入根证书。
在这里插入图片描述

2.5 导出公钥

keytool -list -rfc --keystore teststore.jks | openssl x509 -inform pem -pubkey

在这里插入图片描述

三、生成一个根证书来签发二级证书

3.1 生成证书签名请求文件CSR

keytool -certreq -alias myjks -keystore teststore.jks -file teststore.csr

在这里插入图片描述

3.2 使用自签名证书作为CA根证书,模拟CACSR签发证书

生成模拟CA的密钥对

keytool -genkeypair -alias rootca -keysize 2048 -keyalg RSA -validity 3650 -keystore rootstore.jks -storetype JKS

在这里插入图片描述

  • 用CA的私钥签名后与myjks的公钥生成一个证书:
keytool -gencert -alias rootca -keystore rootstore.jks -infile teststore.csr -outfile teststore_new.crt

在这里插入图片描述
可以看到teststore_new.crt的签发人已经变了:
在这里插入图片描述

3.3 将二级证书导回teststore库中

keytool -import -v -alias rootca -file teststore_new.crt -keystore teststore.jks

在这里插入图片描述

这时证书链会发生变化 :

keytool -list -v -keystore teststore.jks

在这里插入图片描述
这时可以把root证书导出给客户端内置,服务端绑定二级证书,这样客户端验证时可以用根证书验证二级证书。
大部分程序直接使用一级的自签名证书即可,但若需要双向验证,服务端验证客户端时不同客户端最好使用服务端的rootca私钥来签发,这样服务端可以直接用一个rootca的证书验证。实现了动态扩展且客户端的证书不同。 ​

3.4 从teststore导出rootca证书

keytool -export -alias rootca -keystore teststore.jks -file rootca.crt

在这里插入图片描述

四、Keytool其它常用命令

// 以rfc模式打印,即base64可见字符,与pem编码格式一样。 -v为详细输出
keytool -printcert -rfc -file rootca.crt

// 删除密钥库中的条目
keytool -delete -alias rootca -keystore teststore.keystore

// 修改证书库密码,输入旧密码或加参数 -storepass 111111
keytool -storepasswd -new 123456 -keystore truststore

// 修改某条目密码
keytool -keypasswd -alias myCA -keypass 654321 -new newpass -storepass 123456 -keystore myCALib

五、可视化工具

有一些可视化的证书工具和在线工具,可以简化证书操作, 这里简要演示使用KeyTool GUI 创建一个密钥库:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

编程圈子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java开源包4
06-28
JCaptcha4Struts2 是一个 Struts2的插件,用来增加验证码的支持,使用时只需要用一个 JSP 标签 (<jcaptcha:image label="Type the text "/> ) 即可,直接在 struts.xml 中进行配置,使用强大的 JCaptcha来生成验证码...
java 包别名,Java包导入别名
weixin_33252868的博客
02-13 1277
Is it possible in Java to import packages and give this package import a specific name?I currently have a class, which uses some DTO's from a backend and a service package. In both packages the DTO's ...
使用openssl 工具生成 rsa及ecdsa证书,公钥,私钥,签名,验证,root CA,证书,中间证书验证
weixin_43398250的博客
03-14 1438
使用openssl 工具生成 rsa及ecdsa证书,公钥,私钥,签名,验证,root CA,证书,中间证书验证 openssl rsa ecdsa public key private key chain signature
证书验证(国密)
最新发布
一个认真摸鱼的商用密码从业人员
01-29 733
国密证书验证
Spring学习笔记(别名,导入,依赖注入)
taptap小木剑工作室
04-01 757
关于beans注入的笔记
JAVA-包的命名和导入
PMP4674687的博客
04-14 847
1、包的定义 如果要定义一个包,可以使用package关键字完成,“包.类”。 一旦程序中定义完了一个包之后就可以通过以下的命令进行编译:javac -d . Hello.Java ·-d:表示将根据package的定义生成文件夹 ·.:表示在当前所在的文件夹之中生成*.class 但是,访问的时候必须连包一起访问:Java 包.Hello
java开源包101
07-13
JCaptcha4Struts2 是一个 Struts2的插件,用来增加验证码的支持,使用时只需要用一个 JSP 标签 (<jcaptcha:image label="Type the text "/> ) 即可,直接在 struts.xml 中进行配置,使用强大的 JCaptcha来生成验证码...
java开源包1
06-28
JCaptcha4Struts2 是一个 Struts2的插件,用来增加验证码的支持,使用时只需要用一个 JSP 标签 (<jcaptcha:image label="Type the text "/> ) 即可,直接在 struts.xml 中进行配置,使用强大的 JCaptcha来生成验证码...
java开源包8
06-28
JCaptcha4Struts2 是一个 Struts2的插件,用来增加验证码的支持,使用时只需要用一个 JSP 标签 (<jcaptcha:image label="Type the text "/> ) 即可,直接在 struts.xml 中进行配置,使用强大的 JCaptcha来生成验证码...
java开源包10
06-28
JCaptcha4Struts2 是一个 Struts2的插件,用来增加验证码的支持,使用时只需要用一个 JSP 标签 (<jcaptcha:image label="Type the text "/> ) 即可,直接在 struts.xml 中进行配置,使用强大的 JCaptcha来生成验证码...
SM2证书验证(P7B)【含资源!见页首】
这么小声还想开军舰?!
12-11 851
由上图可见,根证书于子级CA证书之前被导出,我们的证书验证模块读取顺序为先读取子级证书,再读取上级证书。故将导出的证书反序进入证书验签模块,即可完成对于证书中每个证书的数字签名的验证。如图上所示,证书中每个整数的基本证书域Tbs、签名值sign域能够借由上级证书的公钥实现验证,那么关于证书证书本身字段的合规性,以及根证书的真实性验证,可以查看。再为文件添加上-----BEGIN PKCS7-----,-----END PKCS7-----;SM2证书验证全过程见[GMSSL系列4]SM2证书验证
java 8 学习笔记(二): java import
墨流觞的博客
09-25 210
在java源代码中,import声明是可选的。那为何要在java中引入import声明呢? it makes your life easier, 可以少写一些代码,并且使你的代码更整洁和易读。 在import声明里,你会告知java编译器,你从某一特定的软件包里引入一个或多个类。无论何时你用一个类型(类, 接口或枚举),你都需要使用完全限定名(fully qualified name),而 imp...
java package 简写
系统运维
03-10 357
简单理解为: model=entity=po(persistant object) vo=dto (value object = data transfer object) 可以用于分页、密码验证
商用密码数字证书合格检测工具
baikeley74的博客
08-06 3762
SM2数字证书,充分借鉴与吸收了X509数字证书的格式与优点,在考虑RSA算法的优缺点之后,推出的基于商密公钥算法的SM2证书规范,至此,商密算法的数字证书在商用密码应用安全性评估中成为了必须要检测的一个重要环节。 身份认证中数字证书使用的正确、有效、合规;在密码产品如VPN中数字证书使用是否正确、有效与合规;在WEB站点中提供HTTPS服务的数字证书使用是否正确、有效与合规。都可以通过该工具进行合规性检测。...
keytool生成自签名证书或CA根证书
weixin_40857858的博客
08-18 1617
1、keytool生成自签名证书 @echo on #1.生成密匙库 keytool -genkeypair -keyalg RSA -dname "CN=localhost" -alias client -keystore client.jks -keypass cccccc -storepass cccccc #2.导出条目为自签名证书 keytool -exportcert -file client.cer -alias client -keystore client.jks -storepass c
理解Java的import
howard_shooter的博客
10-09 5224
3、import导入包,程序中,指定类名,可以省略类名前的报名部分,import导入类,程序中,仍然要指定类名,可以省略类名前的部分。4、 源码中import了这个包或者包的类,编译和运行时还需要这个包所在的jar才行,需要下载和指定所在目录。//导入类,导入LocalPortForwarder类的内嵌类Parameters。//导入包,导入其中的所有类。//没有import。
【ssl认证、证书keytool genkey和genkeypair的区别和联系
m0_45406092的博客
03-27 717
使用keytool -genkey来产生一对密钥。
java 包别名_包别名(Package Aliasing)
weixin_42349277的博客
02-16 1363
包别名(Package Aliasing)包别名用于创建XML中类的完全限定名称的别名为新的限定名称。 让我们再次修改我们的示例并更改以下代码。xstream.alias("student", Student.class);xstream.alias("note", Note.class);以上代码更改如下 -xstream.aliasPackage("my.company.xstream", ...
keytool工具下载
05-15
3. 如果无法找到keytool,可以进入Java安装目录的“bin”文件夹,复制keytool.exe文件,然后将其粘贴到系统环境变量的PATH变量中,这样就可以在任何地方使用keytool工具了。 需要注意的是,在使用keytool时,必须...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

编程圈子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值