keytool是java自带的数字证书管理工具,可以进行一系列的证书管理操作,例如:数字证书的申请、导入、导出和撤销。
在cmd中输入keytool命令查看有关keytool的命令提示:
相比openssl,keytool的中文提示还是比较不错的哈!(英文不好的路过)
1、构建自签名证书
使用-genkeypair进行秘钥与证书的管理,该命令可以生成*.keystore格式的数字证书,详细命令参数如下
在这里我们使用“www.yezi.org”作为别名,使用RSA作为加密算法,并规定密钥长度为2048(一般1024就可以了,目前非对称秘钥可以解到七百多位),使用SHA1withRSA作为数字签名算法,该证书的有效期为36000天,实现命令如下:
keytool -genkeypair -keyalg RSA -keysize 2048 -sigalg SHA1withRSA -validity 36000 -alias www.yezi.org -keystore d:/keystore/yezi.keystore
其中:
那个您的名字与姓氏要填你自己服务器的域名,注意!是域名!!不能使IP!!!
我们也可以使用 -dname指定用户信息,方式如下:
keytool -genkeypair -keyalg RSA -keysize 2048 -sigalg SHA1withRSA
-validity 36000 -alias www.yezi.org -keystore d:/keystore/yezi.keystore -dname "CN=www.yezi.org, OU=yezi, O=yezi, L=sz, ST=gd, C=cn"
2、导出数字证书
有了数字证书(尽管没有被CA认证,但是可以先用着),我们就需要将数字证书导出,格式为*.cer,命令参数如下:
根据刚才生成的keystore证书,我们导出cer证书,实现如下:
keytool -exportcert -alias www.yezi.org -keystore d:/keystore/yezi.keystore -file d:/keystore/yezi.cer -rfc
在这里我们可以使用 -storepass参数指定证书所使用的密码
keytool -exportcert -alias www.yezi.org -keystore d:/keystore/yezi.keystore -file d:/keystore/yezi.cer -rfc -storepass 123456
生成了数字证书,我们可以使用-printcert命令打印出证书的相关信息
打印数字证书命令参数
到此为止,我们使用keytool生成了两个数字证书,一个是keystore格式的,一个cer格式的,他们都没有经过CA机构认证,没有任何的法律效力,但是可以正常使用的,比如,把keystore格式的证书导入Tomcat中,cer格式的证书导入浏览器中,或是使用cer证书构建Java Https请求,这都是Https单项认证。
3、构建CA签发证书
如果哪一天,我们需要一个CA机构认证过的数字证书(产品上线的话就会了,总不能让客户手动往浏览器添加cer证书吧),我们就需要生成CA数字证书签发申请(CSR),该证书格式为*.csr
有关生成证书请求的命令参数如下:
在这里我们依旧依靠keystore证书来生乘csr
keytool -certreq -alias www.yezi.org -keystore d:/keystore/yezi.keystore -file d:/keystore/yezi.csr -v
还是比较人性化的,还有提示。
4、导入证书信任库
获得CA签发的数字证书后,我们需要将其导入到信任库,使用的命令为-importcert,参数如下:
具体实现如下:
keytool -importcert -trustcacerts -alias www.yezi.org -file d:/keystore/yezi.cer -keystore d:/keystore/yezi.keystore
5、查看证书命令
keytool -list -alias www.yezi.org -keystore d:/keystore/yezi.keystore
OK,完成了,截了一大堆的图,现在麻烦,都是为了以后的方便嘛,哈哈