PKI-密钥对/jks/证书的相关操作(keytool、openSSL)

最新推荐文章于 2024-07-28 16:57:42 发布
最新推荐文章于 2024-07-28 16:57:42 发布
阅读量585 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 互联网安全 PKI 配置 文章标签: pki ca证书 信息安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/A_Gui_Code/article/details/105549287
本文详细介绍Java中密钥对的生成与管理,包括使用keytool和OpenSSL进行密钥对的操作,以及如何将证书导入cacerts文件,确保HTTPS服务的安全连接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

title: 密钥对的相关操作(keytool、openSSL)
date: 2018-10-25 10:01:32
tags:
密码学

cacerts

概念

cacerts:trusted certificate authority (CA) certificates

​ The cacerts file is a collection of trusted certificate authority (CA) certificates. Sun Microsystems™ includes a cacerts file with its SSL support in the Java™ Secure Socket Extension (JSSE) tool kit and JDK 1.4.x. It contains certificate references for well-known Certificate authorities, such as VeriSign™. Its format is the “keystore” format defined by Sun. An administrator can edit the cacerts file with a command line tool (also provided by Sun) called keytool. For more information about keytool, see the Sun Web site.

Note: The default password for the cacerts file supplied by Sun is changeit. You must use this password to view the contents or to import a new certificate. For security reasons, change the default password.

The essential requirement is that the certificate authority that signed the HPE Service Manager server’s certificate must be in the list of certificate authorities named in this file. To use a self-issued server certificate created with OpenSSL or a tool such as Microsoft Certificate Server™, you must import the certificate for this private certificate authority into the cacerts file that the client uses for SSL. If you do not import the certificate, SSL connections fail because the Java SSL implementation does not recognize the certificate authority.

​ 简单的来说,cacerts是java用于接受受信任的证书已经证书链,cacerts默认包含有一些众所周知的权威证书,以及证书链。当你需要使用https协议,为你的服务添加ssl的时候,需要将你的证书和证书链导入cacerts(如果已经导入过了,就不需要了)。

keytool

查看java自带的cacerts

# Linux
cd $JAVA_HOME/jre/lib/security
keytool -list -storepass changeit -keystore "./cacerts"		# 查询所有的证书
keytool -list -storepass changeit -keystore "./cacerts" |grep server 
# 查询alias带有server的证书

# Windows
cd %JAVA_HOME%/jre/lib/security
keytool -list -storepass changeit -keystore "./cacerts"		# 查询所有的证书
keytool -list -storepass changeit -keystore "./cacerts" |findstr /i server
# 查询alias带有server的证书

产生jks密钥对

# 产生一个签名算法为SHA256withRSA的,密钥长度为2048,的RSA密钥对,即软证书server.jks
keytool -keystore server.jks -genkey -alias xxx_server -keyalg RSA -sigalg SHA256withRSA -keysize 2048

导出jks的证书

# 证书,即公钥
keytool -export -alias server -keystore server.jks -rfc -file sign.cer

导入证书到cacerts

cd $JAVA_HOME/jre/lib/security
# 将证书导入cacerts,并别名为server
keytool -import -keystore "./cacerts" -alias server -trustcacerts -storepass changeit -file /var/tmp/certs/Server.cer

在cacerts上删除证书

cd $JAVA_HOME/jre/lib/security
# 删除命名为server的证书
keytool -delete -alias server -keystore "./cacerts" -storepass changeit

参数分析

-genkey 在用户主目录中创建一个默认文件".keystore" 的软证书,产生一个mykey的别名,其中包含用户的公钥、私钥和证书
(在没有指定生成位置的情况下,keystore会存在用户系统默认目录,如:对于window xp系统,会生成在系统的C:/Documents and Settings/UserName/文件名为“.keystore”)
-alias 产生别名,keytool将通过这个别名进行查找
-keystore 指定密钥库的名称(产生的各类信息将不在.keystore文件中)
-keyalg 指定密钥的算法 (如 RSA DSA(如果不指定默认采用DSA),推荐采用RSA)
-validity 指定创建的证书有效期多少天
-keysize 指定密钥长度
-storepass 指定密钥库的密码(获取keystore信息所需的密码)
-keypass 指定别名条目的密码(私钥的密码)
-dname 指定证书拥有者信息
-list 显示密钥库中的证书信息
-v 显示密钥库中的证书详细信息
-export 将别名指定的证书导出到文件
-file 参数指定导出到文件的文件名
-delete 删除密钥库中某条目
-printcert 查看导出的证书信息
-keypasswd 修改密钥库中指定条目口令
-storepasswd 修改keystore口令
-import 将已签名数字证书导入密钥库

证书拥有者信息

例如: “CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码”

常用命令:

keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书路径位置,及证书名称 -storepass 密码

keytool -printcert -file yushan.crt

keytool -delete -alias 指定需删除的别 -keystore 指定keystore -storepass 密码

keytool -list -v -keystore 指定keystore -storepass 密码

keytool -import -alias 指定导入条目的别名 -keystore 指定keystore -file 需导入的证书

keytool -storepasswd -keystore e:/yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)

keytool -keypasswd -alias 需修改的别名 -keypass 旧密码 -new 新密码 -storepass keystore密码 -keystore sage

下面是各选项的缺省值。
-alias “mykey”
-keyalg “DSA”
-keysize 1024
-validity 90
-keystore 用户宿主目录中名为 .keystore 的文件
-file 读时为标准输入,写时为标准输出

参考

  1. 什么是cacerts: https://docs.microfocus.com/SM/9.50/Hybrid/Content/security/concepts/what_is_a_cacerts_file.htm
读取JKS文件中的密钥、证书
不见长安见晨雾
03-10 1477
JKS文件内容 读取JKS文件中的密钥、证书 package com.studio.jce; import java.io.FileInputStream; import java.security.Key; import java.security.KeyStore; import java.security.Provider; import java.security.Security; import java.security.cert.Certificate; import org.bounc
PKI/CA与数字证书学习笔记
Remy的学习记录
03-26 6400
现代密码学设计时,一般总假定密码系统的结构是公开的,或者至少为敌人所知。这一假设被称为科考夫原则(Kerckhoff's Principle)。密码系统的结构被称作密码算法,进行加密或解密操作所需的关键参数被称为密钥。现代密码学的安全性主要取决于密钥的设计和使用。密钥管理主要包括:密钥产生、密钥传输、密钥验证、密钥更新、密钥存储、密钥备份、密钥销毁、密钥有效期、密钥使用等。对称密钥管理技术和非对称
Keytool工具使用方法
chunzuju8220的博客
06-15 394
一、 创建证书Keystore(.keystore和.jks一样) keytool -genkey -alias -myalias -keysize 2048 -keyalg "RSA" -keystore "jmust.keystore" 说明: 密钥库密码...
Java PKI Programmer‘s Guide
火柴盒
07-09 1199
公钥应用和系统的用户必须确信,一个主体的公钥是真实的,即与主体相关的私钥由主体拥有。公钥证书用于建立这种信任。公钥(或身份)证书是将公钥绑定到身份的证书,该证书由另一个实体(通常称为认证机构CA)的私钥进行数字签名。在本节的其余部分中,术语CA用于指代签署证书的实体。如果用户没有签署主体公钥证书CA的公钥的可信副本,则需要另一个公钥证书来证明签署CA的可信度。这种逻辑可以递归应用,直到从信任锚点或最受信任的CA到目标主体(通常称为终端实体)发现一系列证书(或认证路径)。
pkijava实现书籍_精通PKI网络安全认证技术与编程实现 PDF扫描版[214MB]
weixin_39906521的博客
02-28 322
精通PKI网络安全认证技术与编程实现从实战出发,介绍了PKI应用开发过程和细节。《精通PKI网络安全认证技术与编程实现》共32章,分6篇,主要内容包括PKI基础知识、OpenSSL开发、CrytoAPI开发、JavaSecurity开发、电子商务网站应用、PKI技术应用等,涉及C语言、Java语言、JSP、ASP/ASP.NET、PHP等开发语言。为了方便读者深入了解PKI,《精通PKI网络安全认...
Android11小黄鸟安装CA证书以及解决抓包没网问题
热门推荐
qq_42923605的博客
03-23 15万+
目录安装CA证书解决没网 安装CA证书 首先没有CA证书是这个样子的 1 准备一个MT管理器 2 进入到 /data/data/com.guoshi.httpcanary.premium/cache/ 目录找到HttpCanary.pem文件 3 将HttpCanary.pem复制一份将新的文件命名为HttpCanary.jks 4 重启黄鸟 就会发现证书已经安装了 5 进入上图页面后 点击添加证书至根系统 6 导出HttpCanary根证书 导出的证书位置在 /storage/emulated
JDK keytool 生成RSA jks 公私钥
yztezhl的专栏
03-29 1389
JDK keytool 生成RSA jks 公私钥
数字证书格式转换 PKCS/PEM/X.509/PFX/P10/P7r/P7b/DER/JKS
07-28 890
转换DER文件(一般后缀名是.crt .cer .der的文件)到PEM文件 openssl x509 -inform der -in certificate.cer -out certificate.pem 转换PEM文件到DER文件 openssl x509 -outform der -in certificate.pem -out certificate.der。openssl是可以生成DER格式的CA证书的,最好用IE将PEM格式的CA证书转换成DER格式的CA证书
openssl自建CA服务器自签证书服务器
松果177的博客
07-27 834
自建CA服务器自签证书服务器 一、配置证书服务器模板 #修改openssl.cnf文件 vi /etc/pki/tls/openssl.cnf #确保[ req ]下存在以下两行 [ req ] distinguished_name = req_distinguished_name req_extensions = v3_req #确保[ req_distinguished_name ]下没有 0.xxx 的标签,有的话把0.xxx的0.去掉 #[ v3_req ]最后一行新增如下一行内容 [
OpenSSL 证书
u010249118的博客
10-11 6290
X.509 OpenSSL 证书
在Linux下如何根据域名自签发OpenSSL证书与常用证书转换
踏歌行的专栏
10-11 1869
在Linux下如何根据域名自签发各种SSL证书,这里我们以Apache、Tomcat、Nginx为例。
【Nginx证书管理宝典】:从OpenSSLJKS的详细操作步骤
[【Nginx证书管理宝典】:从OpenSSLJKS的详细操作步骤](https://onelogin-screenshots.s3.amazonaws.com/app_specific/kb_zscaler/saml/saml_zscaler.png) # 摘要 随着网络通信安全需求的日益增长,SSL/TLS协议...
java验证jks证书的密码
沐月一火浴三途的博客
09-25 7045
java验证jks证书的密码 try { KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType()); keystore.load(new FileInputStream("D:/_zyy_Document/project_new2/个意/点融网/wangh5.jks")
PKI证书签发系统(web版)
被世界遗弃的江的博客
07-14 1万+
这几天没事干,学校安排小学期做一个pki证书签发系统,班上的学霸美女一组,哈哈!虽然90%的活都是我做的,但是帮帮女生也是可以得嘛!扯远了!看看效果吧!用的是ssh框架做的一个签发证书网站,有普通用户申请证书,然后管理员利用密钥库生成证书!提供用户下载这个证书安装!看看效果图吧!不过对前台不精通的我也只能做一个这样的界面了,实验室专业做前台的给我改了改!看看效果吧! 效果差不多是这样的。
生成PKI公私密钥对及数字证书
飞鸟
05-27 5182
转载自:http://openwares.net/misc/pki_key_pair_certificate.html PKI体系是数字证书的基础。 有些情形只需要公私密钥对就够了, 不需要数字证书,比如私有的SSH服务。但是对于一些要求身份认证的情形,则需要对公钥进行数字签名形成数字证书。 公私密钥对(key pair) 有两种常见的工具来生成RSA公私密钥对
keytool制作CA证书以及颁发二级证书
fengwind1的专栏
08-12 2万+
keytool是jdk自带的一款ssl管理工具,jdk6和jdk7的keytool命令有些不同,jdk7的兼容jdk6的,这里用的是jdk7下的keytool。搞了两天,遇到各种问题,甚是艰难啊 [root@localhost ~]# keytool -help 密钥和证书管理工具 命令: -certreq 生成证书请求 -changealias 更改
个人小结---解决JRE_HTTPS证书问题,导入.jks到jre
zaemyn2015的博客
06-26 3078
0.问题背景    通过WAS(wlp-webProfile7-java8-win-x86_64-18.0.0.1.zip)部署应用,并启动SSL验证。当使用jar外部调用action时报证书问题,如下图:1.备份cacerts 备份%JAVA_HOME%\jre\lib\security\cacerts文件,以防出错时恢复备用。2.jks文件导成.cer文件    >keytool -ex...
证书格式
tsimgsong
12-19 7839
REF:http://zxjgoodboy.blog.sohu.com/71003540.html cer后缀的证书文件有两种编码-->DER二进制编码或者BASE64编码(也就是.pem)p7b一般是证书链,里面包括1到多个证书pfx是指以pkcs#12格式存储的证书和相应私钥。在Security编程中,有几种典型的密码交换信息文件格式:DER-encoded certifica
rpm --import /etc/pki/rpm-gpg/RPM*
最新发布
02-19
### 正确使用 `rpm --import` 命令 当遇到提示关于公钥未安装的信息时,意味着系统缺少必要的GPG公钥来验证即将安装的RPM包的真实性。这一步骤至关重要,因为它能确保所使用的软件来自可信源并未经篡改。 要解决这个问题,可以按照如下方法操作: #### 执行命令导入所有匹配的公钥文件 通过终端输入以下指令可一次性导入多个符合条件的公钥文件[^1]: ```bash sudo rpm --import /etc/pki/rpm-gpg/RPM* ``` 这条命令将会遍历指定路径下的所有以`RPM`开头的文件,并将其作为GPG公钥添加至系统的信任列表中。这样做能够有效防止因缺失特定版本的公钥而导致无法正常工作的情况发生。 #### 验证已成功导入的公钥 完成上述步骤之后,可以通过查询当前受信的公钥列表确认新加入的条目是否存在: ```bash rpm -qa gpg-pubkey* ``` 该命令会列出所有的公共密钥及其对应的唯一标识符(ID)。如果之前尝试安装的应用程序再次触发相同的警告,则需进一步排查具体原因;可能是由于网络连接不稳定或是仓库地址配置不当造成的。 #### 特定情况处理——针对EPEL源 对于某些第三方资源库比如EPEL而言,可能会单独指定了不同的公钥位置。此时应参照官方文档说明获取正确的URL链接再执行类似的导入动作[^2]。 例如,对于EPEL 7来说,应该访问官方网站下载最新的GPG密钥并通过下面的方式引入: ```bash sudo rpm --import https://dl.fedoraproject.org/pub/epel/RPM-GPG-KEY-EPEL-7 ``` #### 注意事项 - 在执行任何涉及权限变更的操作前,请务必先备份重要数据以防万一。 - 如果不确定某个来源的安全性,请勿轻易接受未知发行者的签名材料。 - 对于企业级环境建议遵循内部安全策略指南来进行相应设置调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值