keytool生成證書 檢視證書資訊 ,以及java操作的簡單用例
首先用keytool生成證書
1 產生金鑰
D:/>keytool -genkey -alias wenger -keysize 1024 -keypass abcdef -keystore myKeys
tore -storepass abcdef -dname "CN=chen sr, OU=tanglab, O=lab, L=gz, ST=gd, C=cn"
2 匯出金鑰,用證書的形式儲存
D:/>keytool -export -alias wenger -file mycert.cer -keystore myKeystore -storepass abcdef
儲存在檔案中的認證 <mycert.cer>
用java讀出證書的資訊
import java.io.*;import java.security.cert.*;
publicclass TestCert {
publicstaticvoid main(String[] args) {
try{
FileInputStream fis =new FileInputStream("mycert.cer"); CertificateFactory cf=CertificateFactory.getInstance("X509"); X509Certificate c=(X509Certificate) cf.generateCertificate(fis); System.out.println("Generated with "+c.getSigAlgName());
} catch (FileNotFoundException ex) { } catch (CertificateException ex) { /** @todo Handle this exception */ } }
}
輸出:
Certficate forCN=chen sr, OU=tanglab, O=lab, L=gz, ST=gd, C=cn
Generated with SHA1withDSA
JDK中keytool常用命令
-genkey 在使用者主目錄中建立一個預設檔案".keystore",還會產生一個mykey的別名,mykey中包含使用者的公鑰、私鑰和證書
-alias 產生別名
-keystore 指定金鑰庫的名稱(產生的各類資訊將不在.keystore檔案中
-keyalg 指定金鑰的演算法
-validity 指定建立的證書有效期多少天
-keysize 指定金鑰長度
-storepass 指定金鑰庫的密碼
-keypass 指定別名條目的密碼
-dname 指定證書擁有者資訊 例如: "CN=sagely,OU=atr,O=szu,L=sz,ST=gd,C=cn"
-list 顯示金鑰庫中的證書資訊 keytool -list -v -keystore sage -storepass ....
-v 顯示金鑰庫中的證書詳細資訊
-export 將別名指定的證書匯出到檔案 keytool -export -alias caroot -file caroot.crt
-file 引數指定匯出到檔案的檔名
-delete 刪除金鑰庫中某條目 keytool -delete -alias sage -keystore sage
-keypasswd 修改金鑰庫中指定條目口令 keytool -keypasswd -alias sage -keypass .... -new .... -storepass ... -keystore sage
-import 將已簽名數字證書匯入金鑰庫 keytool -import -alias sage -keystore sagely -file sagely.crt
匯入已簽名數字證書用keytool -list -v 以後可以明顯發現多了認證鏈長度,並且把整個CA鏈全部打印出來。
1.證書的顯示
-list
[-v | -rfc] [-alias <alias>]
[-keystore <keystore>] [-storepass <storepass>]
[-storetype <storetype>] [-provider <provider_class_name>]
例如:keytool -list -v -alias RapaServer -keystore cacerts -storepass 12345678
keytool -list -v -keystore d2aapplet.keystore -storepass 12345678 -storetype IAIKKeystore
2.將證書匯出到證書檔案
例如:keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer
將把證書庫 monitor.keystore 中的別名為 monitor 的證書匯出到 monitor.cer 證書檔案中,它包含證書主體的資訊及證書的公鑰,不包括私鑰,可以公開。
keytool -export -keystore d2aApplet.keystore -alias RapaServer -file Rapa.cert -storetype IAIKKeystore
3.將keystore匯入證書中
這裡向Java預設的證書 cacerts匯入Rapa.cert
keytool -import -alias RapaServer -keystore cacerts -file Rapa.cert -keystore cacerts
4.證書條目的刪除
keytool的命令列引數 -delete 可以刪除金鑰庫中的條目,如: keytool -delete -alias RapaServer -keystore d2aApplet.keystore ,這條命令將 d2aApplet.keystore 中的 RapaServer 這一條證書刪除了。
5.證書條目口令的修改
使用 -keypasswd 引數,如:keytool -keypasswd -alias RapaServer -keystore d2aApplet.keystore,可以以互動的方式修改 d2aApplet.keystore證書庫中的條目為 RapaServer 的證書。
Keytool -keypasswd -alias RapaServer -keypass 654321 -new 123456 -storepass 888888 -keystore d2aApplet.keystore這一行命令以非互動式的方式修改庫中別名為 RapaServer 的證書的密碼為新密碼 654321,行中的 123456 是指該條證書的原密碼, 888888 是指證書庫的密碼。