JDK自带工具keytool的使用
JDK里自带的,位于<JAVA_HOME>\bin\keytool.exe
Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中
在keystore里,包含两种数据:
密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)
可信任的证书实体(trusted certificate entries)——只包含公钥
keytool -help
密钥和证书管理工具 命令: -certreq 生成证书请求 -changealias 更改条目的别名 -delete 删除条目 -exportcert 导出证书 -genkeypair 生成密钥对 -genseckey 生成密钥 -gencert 根据证书请求生成证书 -importcert 导入证书或证书链 -importpass 导入口令 -importkeystore 从其他密钥库导入一个或所有条目 -keypasswd 更改条目的密钥口令 -list 列出密钥库中的条目 -printcert 打印证书内容 -printcertreq 打印证书请求的内容 -printcrl 打印 CRL 文件的内容 -storepasswd 更改密钥库的存储口令
1.创建证书
>keytool -genkeypair -alias "test" -storetype pkcs12 -keyalg "RSA" -keystore "test.p12" 输入密钥库口令: 再次输入新口令: 您的名字与姓氏是什么? [Unknown]: li 您的组织单位名称是什么? [Unknown]: abc 您的组织名称是什么? [Unknown]: xyz 您所在的城市或区域名称是什么? [Unknown]: Ji 您所在的省/市/自治区名称是什么? [Unknown]: Dong 该单位的双字母国家/地区代码是什么? [Unknown]: CC CN=li, OU=abc, O=xyz, L=Ji, ST=Dong, C=CC是否正确? [否]: y
生成了证书test.p12
说明:
-storetype 指定仓库类型, JKS、 JCEKS、 PKCS12 等
-keyalg 指定密钥的算法, RSA、 DSA 等,默认DSA
-keysize 指定密钥长度,默认2048
-alias:指定密钥对的别名,该别名是公开的
-keystore:密钥库的路径及名称
2.查看证书
>keytool -list -keystore test.p12 输入密钥库口令: 密钥库类型: JKS 密钥库提供方: SUN 您的密钥库包含 1 个条目 test, 2020-4-14, PrivateKeyEntry, 证书指纹 (SHA1): 5B:E7:9D:E8:84:6B:17:E4:CF:1C:EA:49:00:38:CD:3B:AF:FC:43:15
3.导出证书
>keytool -export -alias test -file test.crt -keystore test.p12
输入密钥库口令:
存储在文件 <test.crt> 中的证书
查看crt证书信息
>keytool -printcert -file test.crt
所有者: CN=li, OU=abc, O=xyz, L=Jinan, ST=Shandong, C=China
发布者: CN=li, OU=abc, O=xyz, L=Jinan, ST=Shandong, C=China
序列号: 492e4a72
有效期为 Tue Apr 14 14:33:17 CST 2020 至 Mon Jul 13 14:33:17 CST 2020
证书指纹:
MD5: D7:F1:E5:83:D6:6F:3F:77:C0:EE:C3:4A:51:EF:82:D1
SHA1: 5B:E7:9D:E8:84:6B:17:E4:CF:1C:EA:49:00:38:CD:3B:AF:FC:43:15
SHA256: 77:12:78:1D:A7:96:22:CD:C1:18:EC:2F:9C:76:01:59:ED:0B:09:A6:C0:EF:37:F5:BA:41:9C:88
:3A:16:E1:42
签名算法名称: SHA256withRSA
主体公共密钥算法: 2048 位 RSA 密钥
版本: 3
扩展:
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: C1 AB 06 D8 FA 6E 91 2C 43 0C DE 66 D1 B6 92 F6 .....n.,C..f....
0010: D4 8D D6 70 ...p
]
]
4.导入证书
>keytool -import -keystore test_crt -file test.crt 输入密钥库口令: 再次输入新口令: 所有者: CN=li, OU=abc, O=xyz, L=Jinan, ST=Shandong, C=China 发布者: CN=li, OU=abc, O=xyz, L=Jinan, ST=Shandong, C=China 序列号: 492e4a72 有效期为 Tue Apr 14 14:33:17 CST 2020 至 Mon Jul 13 14:33:17 CST 2020 证书指纹: MD5: D7:F1:E5:83:D6:6F:3F:77:C0:EE:C3:4A:51:EF:82:D1 SHA1: 5B:E7:9D:E8:84:6B:17:E4:CF:1C:EA:49:00:38:CD:3B:AF:FC:43:15 SHA256: 77:12:78:1D:A7:96:22:CD:C1:18:EC:2F:9C:76:01:59:ED:0B:09:A6:C0:EF:37:F5:BA:41:9C:88 :3A:16:E1:42 签名算法名称: SHA256withRSA 主体公共密钥算法: 2048 位 RSA 密钥 版本: 3 扩展: #1: ObjectId: 2.5.29.14 Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: C1 AB 06 D8 FA 6E 91 2C 43 0C DE 66 D1 B6 92 F6 .....n.,C..f.... 0010: D4 8D D6 70 ...p ] ] 是否信任此证书? [否]: y 证书已添加到密钥库中
5.删除
查看
>keytool -list -keystore test_crt 输入密钥库口令: 密钥库类型: JKS 密钥库提供方: SUN 您的密钥库包含 1 个条目 mykey, 2020-4-14, trustedCertEntry, 证书指纹 (SHA1): 5B:E7:9D:E8:84:6B:17:E4:CF:1C:EA:49:00:38:CD:3B:AF:FC:43:15
删除
>keytool -delete -keystore test_crt -alias mykey
6.修改证书条目的口令
>keytool -keypasswd -alias test -keystore test.p12 输入密钥库口令: 输入 <test> 的密钥口令 新<test> 的密钥口令: 重新输入新<test> 的密钥口令: