Keytool使用

768992698

浏览: 121077 次

最近访客更多访客>>

zwy133

待曦孤星

sinoee

ahww520

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

Java

一、关于加解密的一些概念

1、按照加密技术的密码体制分为：

对称加密（DES加密）和非对称加密（RSA）；

对称加密：加密、解密的密钥是相同的；

非对称加密：公钥、私钥方式，公开公钥；

2、证书实际是由证书签证机关（CA）签发的对用户的公钥的认证

证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等；

目前，证书的格式和验证方法普遍遵循X.509 国际标准；

一个证书是一个实体的数字签名,还包含这个实体的公共钥匙值

3、公共钥匙

是一个详细的实体的数字关联,并有意让所有想同这个实体发生信任关系的其他实体知道.

公共钥匙用来检验签名；

4、数字签名

是实体信息用实体的私有钥匙签名（加密）后的数据.这条数据可以用这个实体的公共钥匙来检验签名（解密）出实体信息以鉴别实体的身份；

5、签名

用实体私有钥匙加密某些消息，从而得到加密数据；

6、私有钥匙

是一些数字,私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中；

公共钥匙用来加密数据，私有钥匙用来计算签名；

公钥加密的消息只能用私钥解密，私钥签名的消息只能用公钥检验签名；

7、实体

一个实体可以是一个人,一个组织,一个程序,一台计算机,一个商业,一个银行,或其他你想信任的东西。

二、Keytool

Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥（key）和证书（certificates）存在一个称为keystore的文件中。

1、在keystore里，包含两种数据：

密钥实体（Key entity）密钥（secret key）又或者是私钥和配对公钥（采用非对称加密）

可信任的证书实体（trusted certificate entries）只包含公钥

2、keytool常用命令

-genkey

在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名，mykey中包含用户的公钥、私钥和

证书(在没有指定生成位置的情况下,keystore会存在用户系统默认目录，

如：对于window xp系统，会生成在系统的C:\Documents and Settings\UserName\文件名为“.keystore”)

-alias

产生别名,每个keystore都关联这一个独一无二的alias，这个alias通常不区分大小写

-keystore

指定密钥库的名称(产生的各类信息将不在.keystore文件中)

-keyalg

指定密钥的算法 (如 RSA DSA（如果不指定默认采用DSA）)

-validity

指定创建的证书有效期多少天

-keysize

指定密钥长度

-storepass

指定密钥库的密码(获取keystore信息所需的密码)

-keypass

指定别名条目的密码(私钥的密码)

-dname

指定证书拥有者信息

例如： "CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码"

-list

显示密钥库中的证书信息

-v

显示密钥库中的证书详细信息

-export

将别名指定的证书导出到文件

keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码

-file

参数指定导出到文件的文件名

-delete

删除密钥库中某条目

keytool -delete -alias 指定需删除的别名 -keystore 指定keystore -storepass 密码

-printcert

查看导出的证书信息

keytool -printcert -file yushan.crt

-keypasswd

修改密钥库中指定条目口令

keytool -keypasswd -alias 需修改的别名 -keypass 旧密码 -new 新密码 -storepass keystore密码 -keystore

-import

将已签名数字证书导入密钥库

keytool -import -alias 指定导入条目的别名 -keystore 指定keystore -file 需导入的证书

下面是各选项的缺省值。

-alias "mykey"

-keyalg "DSA"

-keysize 1024

-validity 90

-keystore 用户宿主目录中名为 .keystore 的文件

-file 读时为标准输入，写时为标准输出

3、使用示例

（1）、keystore生成

分步生成

keytool -genkey -alias yushan(别名) -keypass yushan(别名密码) -keyalg RSA(算法) -keysize 1024(密钥长度)

-validity 365(有效期，天单位) -keystore e:\yushan.keystore(指定生成证书的位置和证书名称)

-storepass 123456(获取keystore信息的密码)；回车输入相关信息即可；

一次生成

keytool -genkey -alias yushan -keypass yushan -keyalg RSA -keysize 1024 -validity 365 -keystore e:\yushan.keystore

-storepass 123456 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称),

C=(单位的两字母国家代码)";(中英文即可)

CN: 必须是TOMCAT部署主机的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你将来要在浏览器中输入的访问地址），否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost”

（2）、keystore信息查看

keytool -list -v -keystore e:\keytool\yushan.keystore -storepass 123456

（3）、证书导出

keytool -export -alias yushan -keystore e:\yushan.keystore -file e:\yushan.crt(指定导出的证书位置及证书名称) -storepass 123456

（4）、查看导出的证书信息

keytool -printcert -file yushan.crt

（5）、证书导入

准备一个导入的证书：

keytool -genkey -alias shuany -keypass shuany -keyalg RSA -keysize 1024 -validity 365 -keystore e:\shuany.keystore

-storepass 123456 -dname "CN=shuany, OU=xx, O=xx, L=xx, ST=xx, C=xx";

keytool -export -alias shuany -keystore e:

keytool -export -alias shuany -keystore e:\shuany.keystore -file e:\shuany.crt -storepass 123456

现在将shuany.crt 加入到yushan.keystore中：

keytool -import -alias shuany(指定导入证书的别名，如果不指定默认为mykey,别名唯一，否则导入出错) -file e:\shuany.crt

-keystore e:\yushan.keystore -storepass 123456

keytool -list -v -keystore e:\keytool\yushan.keystore -storepass 123456

（6）、证书条目删除

keytool -delete -alias shuany(指定需删除的别名) -keystore yushan.keystore -storepass 123456

（7）、证书条目口令的修改

keytool -keypasswd -alias yushan(需要修改密码的别名)

keytool -keypasswd -alias yushan(需要修改密码的别名) -keypass yushan(原始密码) -new 123456(别名的新密码)

-keystore e:\yushan.keystore -storepass 123456

（8）、keystore口令修改

keytool -storepasswd -keystore e:\yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)

（9）、修改keystore中别名为xx的信息

keytool -selfcert -alias yushan -keypass yushan -keystore e:\yushan.keystore -storepass 123456

-dname "cn=yushan,ou=yushan,o=yushan,c=us"

三、常见处理

1、tomcat启动直接报错：No Certificate file specified or invalid file format

将protocol的值（HTTP/1.1）修改如下：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"

maxThreads="150" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" keystoreFile="e:/tomcat.keystore" keystorePass="111111"/>

2、java.security.UnrecoverableKeyException: Cannot recover key

keytool -genkey -alias tomcat -keypass（主密码） 111111 -keyalg RSA -keysize 1024 -validity 365 -keystore e:\tomcat.keystore

-storepass（keystore密码） 11111 -keyoass 与 -storepass需要设置相同的值

3、tomcat配置ssl

（1）、使用jdk提供的keytool创建keystore文件（包含私钥、公钥、数字签名等信息）

（2）、配置tomcat来使用该keystore文件（server.xml文件中配置，connector添加 keystorefile、keystorepass）

（3）、测试（https://localhost:8443/）

（4）、配置应用以便使用ssl（web.xml将 URL 映射设为 /* ，这样你的整个应用都要求是 HTTPS 访问，

而 transport-guarantee 标签设置为 CONFIDENTIAL 以便使应用支持 SSL。

如果你希望关闭 SSL ，只需要将 CONFIDENTIAL 改为 NONE 即可）

<security-constraint>

<web-resource-collection>

<web-resource-name>securedapp</web-resource-name>

<url-pattern>/*</url-pattern>

</web-resource-collection>

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

项目中使用示例：

是JDK1.6则下载bcprov-jdk16-141.jar，且将该文件放到jdk1.6.0_03\jre\lib\ext目录下，然后运行以下命令即可以生成BKS的证书库和相应的证书。

keytool -genkey -alias <别名> -keypass <密钥口令> -keyalg RSA -keysize 1024 -validity 365 -keystore <库文件名，如runcerts.keystore> -storepass <证书库密码> -dname "cn=runtestuser3, ou=vpn, o=run, c=CN, l=shanghai" -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider

1、生成服务器证书库

keytool -validity 365 -genkey -v -alias server -keyalg RSA -keystore E:\ssl\server.keystore -dname "CN=192.168.31.40,OU=xxxxx,O=xxxxx,L=xxxx,ST=xxxx,c=cn" -storepass 123456 -keypass 123456

keytool -genkey -alias server -storetype BKS -keyalg RSA -keystore

E:\ssl\key\server.keystore -validity 365 -dname "CN=192.168.31.40,OU=xxxxx,O=

xxxxx,L=xxxx,ST=xxxx,c=cn" -provider org.bouncycastle.jce.provider.BouncyCastl

eProvider

2、生成客户端证书库

keytool -validity 365 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore E:\ssl\client.p12 -dname "CN=client,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456

keytool -validity 365 -genkeypair -v -alias client -keyalg RSA -sto

retype BKS -keystore E:\ssl\key\client.p12 -dname "CN=client,OU=xxxxx,O=xxxxx,L=

xxxx,ST=xxxx,c=cn" -storepass 123456 -keypass 123456 -provider org.bouncycastl

e.jce.provider.BouncyCastleProvider

3、从客户端证书库中导出客户端证书

keytool -export -v -alias client -keystore E:\ssl\client.p12 -storetype PKCS12 -storepass 123456 -rfc -file E:\ssl\client.cer

keytool -export -v -alias client -keystore E:\ssl\client.p12 -storetype BKS -storepass 123456 -rfc -file E:\ssl\client.cer

4、从服务器证书库中导出服务器证书

keytool -export -v -alias server -keystore E:\ssl\server.keystore -storepass 123456 -rfc -file E:\ssl\server.cer

keytool -export -v -alias server -keystore E:\ssl\server.keystore -storetype BKS -storepass 123456 -rfc -file E:\ssl\server.cer

5、生成客户端信任证书库(由服务端证书生成的证书库)

keytool -import -v -alias server -file E:\ssl\key\server.cer -keystore E:\ssl\key\client.truststore -storepass 123456 -storetype BKS

6、将客户端证书导入到服务器证书库(使得务器信任客户端证书)

keytool -import -v -alias client -file E:\ssl\key\client.cer -keystore E:\ssl\key\server.keystore -storepass 123456 -storetype BKS

7、查看证书库中的全部证书

keytool -list -keystore E:\ssl\server.keystore -storepass 123456

分享到：

银行卡互联网络的清分、对帐与清算 | Oracle用户、角色和权限

2015-12-18 13:36
浏览 852
评论(0)
分类:编程语言
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

Keytool使用

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

Keytool使用

评论

发表评论

相关推荐

Sping WebSocket SockJS使用

FreeMarker使用记录

FreeMarker内置函数

通过tomcat实现Websocket

Shiro

Timer和ScheduledThreadExecutor处理定时任务

Maven使用

At least one JAR was scanned for TLDs解决办法

PHP JAVA关于post请求数据接收的处理

Java代理机制

JAVA concuttent包使用

JAX-WS实现Web Service

Java对XML文件进行解析

最近访客更多访客>>