keystore 介紹 .

Keytool 是一個有效的安全鑰匙和證書的管理工具. 
Java 中的 keytool.exe (位於 JDK\Bin 目錄下)能夠用來建立數字證書,全部的數字證書是以一條一條(採用別名區別)的形式存入證書庫的中,證書庫中的一條證書包含該條證書的私鑰,公鑰和對應的數字證書的信息。證書庫中的一條證書能夠導出數字證書文件,數字證書文件只包括主體信息和對應的公鑰。 
Keytool 把鑰匙和證書儲存到一個keystore.默任的實現keystore的是一個文件.它用一個密碼保護鑰匙. 
(2) 
關於證書的幾個概念: 
    一個證書是一個實體的數字簽名,還包含這個實體的公共鑰匙值. 
        公共鑰匙 :是一個詳細的實體的數字關聯,並有意讓全部想同這個實體發生信任關係的其餘實體知道.公共鑰匙用來檢驗簽名; 
        數字簽名:是實體信息用實體的私有鑰匙簽名(加密)後的數據.這條數據能夠用這個實體的公共鑰匙來檢驗簽名(解密)出實體信息以鑑別實體的身份;        
        簽名:用實體私有鑰匙加密某些消息,從而獲得加密數據; 
        私有鑰匙:是一些數字,私有和公共鑰匙存在全部用公共鑰匙加密的系統的鑰匙對中.公共鑰匙用來加密數據,私有鑰匙用來計算簽名.公鑰加密的消息只能用私鑰解密,私鑰簽名的消息只能用公鑰檢驗簽名。 
        實體:一個實體能夠是一我的,一個組織,一個程序,一臺計算機,一個商業,一個銀行,或其餘你想信任的東西. 
    實際上,咱們用[1]中的命令已經生成了一個自簽名的證書,沒有指定的參數都使用的是默認值。 
    咱們也能夠用以下命令生成一個自簽名的證書: 
        keytool -genkey -dname "CN=fingki,OU=server,O=server,L=bj,ST=bj,C=CN" -alias myCA -keyalg RSA -keysize 1024 -keystore myCALib -keypass 654321 -storepass 123456 -validity 3650 
        這條命令將生成一個別名爲myCA的自簽名證書,證書的keypair的密碼爲654321,證書中實體信息爲 "CN=fingki,OU=server,O=server,L=bj,ST=bj,C=CN",存儲在名爲myCALib的keystore中(若是沒有將自動生成一個),這個keystore的密碼爲123456,密鑰對產生的算法指定爲RSA,有效期爲10年。 

[2] 
詳細分析以下: 
Keystore的別名: 
全部的keystore入口(鑰匙和信任證書入口)是經過惟一的別名訪問.別名是不區分大小寫的.如別名Hugo和 
hugo指向同一個keystore入口. 
能夠在加一個入口到keystore的時候使用-genkey參數來產生一個鑰匙對(公共鑰匙和私有鑰匙)時指定別 
名.也能夠用-import參數加一個證書或證書鏈到信任證書. 
如: 
1. 
keytool -genkey -alias duke -keypass dukekeypasswd 
其中duke爲別名,dukekeypasswd爲duke別名的密碼.這行命令的做用是產生一個新的公共/私有鑰匙對. 
假如你想修改密碼,能夠用: 
keytool -keypasswd -alias duke -keypass dukekeypasswd -new newpass 
將舊密碼dukekeypasswd改成newpass. 
能夠用-keystore指定其名時,將產生指定的keystore. 
2. 
檢查一個keystore: 
keytool -list -v -keystore keystore 
Enter keystore password:your password(輸入密碼) 
3.輸出keystore到一個文件:testkey: 
keytool -export -alias duke -keystore keystore -rfc -file testkey 
系統輸出: 
Enter keystore password:your password(輸入密碼) 
Certificate stored in file 
例如:keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer 
將把證書庫 monitor.keystore 中的別名爲 monitor 的證書導出到 monitor.cer 證書文件中,它包含證書主體的信息及證書的公鑰,不包括私鑰,能夠公開。 
4.輸入證書到一個新的truststore: 
keytool -import -alias dukecert -file testkey -keystore truststore 
Enter keystore password:your new password.(輸入truststore新密碼) 
將keystore導入證書中這裏向Java默認的證書 cacerts導入Rapa.cert 
keytool -import -alias RapaServer -keystore cacerts -file Rapa.cert -keystore cacerts 
5.證書條目的刪除 
keytool的命令行參數 -delete 能夠刪除密鑰庫中的條目,如: keytool -delete -alias RapaServer -keystore d2aApplet.keystore ,這條命令將 d2aApplet.keystore 中的 RapaServer 這一條證書刪除了。 

7,將證書導出到證書文件 
    keytool -export -alias myCA -file myCA.cer -keystore myCALib -storepass 123456 -rfc 
    使用該命令從名爲myCALib的keystore中,把別名爲myCA的證書導出到證書文件myCA.cer中。(其中-storepass指定keystore的密碼,-rfc指定以可查看編碼的方式輸出,可省略)。 
8,經過證書文件查看證書信息 
    keytool -printcert -file myCA.cer 
9,密鑰庫中證書條目口令的修改 
    Keytool -keypasswd -alias myCA -keypass 654321 -new newpass -storepass 123456 -keystore myCALib 
10,刪除密鑰庫中的證書條目 
    keytool -delete -alias myCA -keystore myCALib 
11,把一個證書文件導入到指定的密鑰庫 
    keytool -import -alias myCA -file myCA.cer -keystore truststore 
    (若是沒有名爲truststore的keystore,將自動建立,將會提示輸入keystore的密碼) 
12,更改密鑰庫的密碼 
    keytool -storepasswd -new 123456  -storepass 789012 -keystore truststore 
    其中-storepass指定原密碼,-new指定新密碼。 
[3] 
本身的實例 
(1)用法總結: 
1. 
keystore好像一個數據庫.每種操做,都要先指定keystore名與密碼,以及操做的對象別名如: 
..... -alias AAA -keystore jServer.keystore -storepass 123456 
2. 
操做的通常格式: 
keytool + 操做類型[-genkey,-list -v,-printcert -file,-import -flie,-export -file,-delete,- 
keypasswd -new,-storepasswd -new] + 再加上上面的格式. 
(2)實例 
C:\keytool>keytool -genkey -alias jason -keystore jServer.keystore -keyalg RSA 
輸入keystore密碼:  1234 
Keystore 密碼過短 -至少必須爲6個字符 
輸入keystore密碼:  123456 
您的名字與姓氏是什麼? 
  [Unknown]:  huang 
您的組織單位名稱是什麼? 
  [Unknown]:  access 
您的組織名稱是什麼? 
  [Unknown]:  access 
您所在的城市或區域名稱是什麼? 
  [Unknown]:  sz 
您所在的州或省份名稱是什麼? 
  [Unknown]:  gd 
該單位的兩字母國家代碼是什麼 
  [Unknown]:  china 
CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 正確嗎? 
  [否]:  y 
輸入<jason>的主密碼 
        (若是和 keystore 密碼相同,按回車):  74123 
主密碼過短 -至少必須爲 6 個字符 
輸入<jason>的主密碼 
        (若是和 keystore 密碼相同,按回車):  456789 
C:\keytool>keytool -list -v -keystore jServer.keystore 
輸入keystore密碼:  123456 
Keystore 類型: jks 
Keystore 提供者: SUN 
您的 keystore 包含 1 輸入 
別名名稱: jason 
建立日期: 2009-6-24 
輸入類型:KeyEntry 
認證鏈長度: 1 
認證 [1]: 
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 
發照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 
序號: 4a40fd0f 
有效期間: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009 
認證指紋: 
         MD5:  4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48 
         SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9 

******************************************* 
******************************************* 

C:\keytool>keytool -export -alias jason -keystore jServer.keystore -rfc -file jasonfile 
輸入keystore密碼:  123456 
保存在文件中的認證 <jasonfile> 
C:\keytool>keytool -export -alias jason -keystore jServer.keystore -storepass 123456 -rfc -f 
ile jasonfile2 
保存在文件中的認證 <jasonfile2> 
C:\keytool>keytool -export -alias jason -keystore jServer.keystore -storepass 123456 -rfc -f 
ile jasonfile.cer 
保存在文件中的認證 <jasonfile.cer> 
C:\keytool>keytool -printcert -file jasonfile.cer 
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 
發照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 
序號: 4a40fd0f 
有效期間: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009 
認證指紋: 
         MD5:  4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48 
         SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9 
C:\keytool>keytool -keypasswd -alias jason -keypass 456789 -new 20070423 -keystore jServer - 
storepass 123456 
keytool錯誤: java.lang.Exception: Keystore 文件不存在: jServer 
C:\keytool>keytool -keypasswd -alias jason -keypass 456789 -new 20070423 -keystore jServer.k 
eystore -storepass 123456 
C:\keytool>keytool -list -v -alias jason -storepass 123456 
keytool錯誤: java.lang.Exception: Keystore 文件不存在: C:\Documents and Settings\Administr 
ator\.keystore 
C:\keytool>keytool -list -v -alias jason -keystore jServer.keystore -storepass 123456 
別名名稱: jason 
建立日期: 2009-6-24 
輸入類型:KeyEntry 
認證鏈長度: 1 
認證 [1]: 
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 
發照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 
序號: 4a40fd0f 
有效期間: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009 
認證指紋: 
         MD5:  4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48 
         SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9 
C:\keytool>keytool -delete -alias jason -keystore jServer.keystore -storepass 123456 
C:\keytool>keytool -list -v -alias jason -keystore jServer.keystore -storepass 123456 
keytool錯誤: java.lang.Exception: 別名 <jason> 不存在 
C:\keytool>keytool -import -alias hwj -file jasonfile.cer -keystore jServer.keystore -storep 
ass 123456 
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 
發照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 
序號: 4a40fd0f 
有效期間: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009 
認證指紋: 
         MD5:  4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48 
         SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9 
信任這個認證? [否]:  y 
認證已添加至keystore中 
C:\keytool>keytool -list -v -alias jason -keystore jServer.keystore -storepass 123456 
keytool錯誤: java.lang.Exception: 別名 <jason> 不存在 
C:\keytool>keytool -list -v -alias hwj -keystore jServer.keystore -storepass 123456 
別名名稱: hwj 
建立日期: 2009-6-24 
輸入類型: trustedCertEntry 
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 
發照者: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 
序號: 4a40fd0f 
有效期間: Wed Jun 24 00:04:31 CST 2009 至: Tue Sep 22 00:04:31 CST 2009 
認證指紋: 
         MD5:  4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48 
         SHA1: 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9 
C:\keytool>keytool -storepasswd -new 20070423 -keystore jServer.keystore -storepass 123456 java

相關文章
相關標籤/搜索