Java keytool 工具实战总结

最新推荐文章于 2023-11-27 20:02:28 发布
最新推荐文章于 2023-11-27 20:02:28 发布
阅读量851 收藏 3
点赞数
分类专栏: 网络安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013887254/article/details/103205059
版权

Keytool是什么

安装jdk之后默认就带有keytool这个工具,使用which命令可以查看具体命令路径。Keytool是一个简单的操作ssl证书的小工具。

which keytool
keytool -help

非法选项:  -h
密钥和证书管理工具

命令:

 -certreq            生成证书请求
 -changealias        更改条目的别名
 -delete             删除条目
 -exportcert         导出证书
 -genkeypair         生成密钥对
 -genseckey          生成密钥
 -gencert            根据证书请求生成证书
 -importcert         导入证书或证书链
 -importpass         导入口令
 -importkeystore     从其他密钥库导入一个或所有条目
 -keypasswd          更改条目的密钥口令
 -list               列出密钥库中的条目
 -printcert          打印证书内容
 -printcertreq       打印证书请求的内容
 -printcrl           打印 CRL 文件的内容
 -storepasswd        更改密钥库的存储口令

使用 "keytool -command_name -help" 获取 command_name 的用法

Keytool使用说明

  • 使用 keytool --help 可以查看相关帮助,如上图展示了相关的可用子命令。可以通过 keytool subCmd --help 查看具体每个子命令支持的用法。keytool --help 展示的是子命令,具体 keytool subCmd --help 会展示支持的选项。
keytool -genkey --help

keytool -genkeypair [OPTION]...

生成密钥对

选项:

 -alias <alias>                  要处理的条目的别名
 -keyalg <keyalg>                密钥算法名称
 -keysize <keysize>              密钥位大小
 -sigalg <sigalg>                签名算法名称
 -destalias <destalias>          目标别名
 -dname <dname>                  唯一判别名
 -startdate <startdate>          证书有效期开始日期/时间
 -ext <value>                    X.509 扩展
 -validity <valDays>             有效天数
 -keypass <arg>                  密钥口令
 -keystore <keystore>            密钥库名称
 -storepass <arg>                密钥库口令
 -storetype <storetype>          密钥库类型
 -providername <providername>    提供方名称
 -providerclass <providerclass>  提供方类名
 -providerarg <arg>              提供方参数
 -providerpath <pathlist>        提供方类路径
 -v                              详细输出
 -protected                      通过受保护的机制的口令

使用 "keytool -help" 获取所有可用命令
  • 如上图,-genkey虽然没有出现在列表中,但是通过 --help 可发现其表示的是 -genkeypair。类似的缩略还有几个,此处不介绍(非必要)。

Keytool实战

创建证书

keytool -genkey -keyalg RSA -keystore server.keystore.jks -alias localhost -validity 1
  • -genkey 是子命令,即创建密钥对(私钥+公钥,其中公钥本质即证书)。
  • -keyalg 指定算法
  • -keystore 指定密钥本文件(keystore可以理解为一个证书存储文件,一个文件内可以存储多个证书,每个证书使用一个alias标识)。每个keystore需要指定storepass进行基本的安全校验,每个alias(证书/密钥对)需要指定keypass用于基本的安全校验。
  • -alias 指定本次创建的证书alias。
  • 注意storepass和keypass不指定会在输入命令后通过交互方式输入。指定的keystore文件不存在,则输入的storepass为新密码,完成后会创建处store文件。若已存在,则输入的storepass需通过校验才能继续。

查看证书

keytool -list --help

keytool -list [OPTION]...

列出密钥库中的条目

选项:

 -rfc                            以 RFC 样式输出
 -alias <alias>                  要处理的条目的别名
 -keystore <keystore>            密钥库名称
 -storepass <arg>                密钥库口令
 -storetype <storetype>          密钥库类型
 -providername <providername>    提供方名称
 -providerclass <providerclass>  提供方类名
 -providerarg <arg>              提供方参数
 -providerpath <pathlist>        提供方类路径
 -v                              详细输出
 -protected                      通过受保护的机制的口令

keytool -list -v -keystore server.keystore.jks
  • 注意需要输入storepass。

导出证书

  • 正如以上所说,store只是一个证书本。那么证书本身是什么样的呢。
keytool -exportcert -keystore server.keystore.jks -alias localhost -file server.cer
  • 可以基于md5sum等指令验证server.cer的指纹是否和keytool -list打印的指纹一致。
  • 需要注意的是,导出的证书不包含私钥。所以务必记住:仅包含单个alias的keystore和其导出的cer文件是不对等的(一个是公私钥对,另一个仅公钥)。

导入证书

  • 既然可以从store导出证书,自然也可以导入。
  • keytool -import --help

keytool -importcert [OPTION]...

导入证书或证书链

选项:

 -noprompt                       不提示
 -trustcacerts                   信任来自 cacerts 的证书
 -protected                      通过受保护的机制的口令
 -alias <alias>                  要处理的条目的别名
 -file <filename>                输入文件名
 -keypass <arg>                  密钥口令
 -keystore <keystore>            密钥库名称
 -storepass <arg>                密钥库口令
 -storetype <storetype>          密钥库类型
 -providername <providername>    提供方名称
 -providerclass <providerclass>  提供方类名
 -providerarg <arg>              提供方参数
 -providerpath <pathlist>        提供方类路径
 -v                              详细输出

keytool -import -keystore server.keystore.jks -alias localhost3 -file server.cer

输入密钥库口令:
在别名 <localhost> 之下, 证书已经存在于密钥库中
是否仍要添加? [否]:  y
证书已添加到密钥库中

keytool -list -keystore server.keystore.jks

输入密钥库口令:

密钥库类型: JKS
密钥库提供方: SUN

您的密钥库包含 3 个条目

localhost3, 2019-11-22, trustedCertEntry,
证书指纹 (SHA1): 54:16:B5:FB:DC:E8:3B:F1:59:77:F2:5D:01:84:6B:06:84:7C:D0:FB
localhost2, 2019-11-22, PrivateKeyEntry,
证书指纹 (SHA1): 78:C9:08:4F:A3:3C:24:39:44:4C:99:23:B0:1B:01:46:CF:EC:37:44
localhost, 2019-11-22, PrivateKeyEntry,
证书指纹 (SHA1): 54:16:B5:FB:DC:E8:3B:F1:59:77:F2:5D:01:84:6B:06:84:7C:D0:FB
  • 正如之前所讲,keystore和cer文件不对等,那么此处导入的仅仅是cer文件,和原先keystore中保存的还一样嘛。答案:不一样。如上图所示,localhost、localhost2、localhost3的类型并不一样。localhost和localhost2是PrivateKeyEntry,而localhost3是trustedCertEntry。
  • PrivateKeyEntry的转移需要通过 keytool -importkeystore 指令操作。

  • 打印和查看证书

  • keytool -printcert --help

keytool -printcert [OPTION]...

打印证书内容

选项:

 -rfc                        以 RFC 样式输出
 -file <filename>            输入文件名
 -sslserver <server[:port]>  SSL 服务器主机和端口
 -jarfile <filename>         已签名的 jar 文件
 -v                          详细输出

keytool -printcert -file server.cer

所有者: CN=zhao, OU=baidu, O=baidu_org, L=shanghai, ST=shanghai, C=cn
发布者: CN=zhao, OU=baidu, O=baidu_org, L=shanghai, ST=shanghai, C=cn
序列号: 6c7d478d
有效期开始日期: Fri Nov 22 17:22:07 CST 2019, 截止日期: Sat Nov 23 17:22:07 CST 2019
证书指纹:
         MD5: 27:F5:53:43:9C:3B:34:9E:57:1B:16:9B:C2:D9:BF:D6
         SHA1: 54:16:B5:FB:DC:E8:3B:F1:59:77:F2:5D:01:84:6B:06:84:7C:D0:FB
         SHA256: 45:A3:76:1B:3C:63:FF:AC:DF:04:7B:14:53:27:1E:E8:0B:5A:CC:6A:6E:AD:6A:73:D2:D4:AC:58:E5:19:2B:28
         签名算法名称: SHA256withRSA
         版本: 3

扩展:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 29 A6 40 94 4F E4 08 0E   6D CB 3E 71 15 F2 ED 45  ).@.O...m.>q...E
0010: E6 FB 98 5B                                        ...[
]
]

  • 导出单独的key和cer文件

  • 以上演示了导出cer文件,但是keytool默认无法导出key文件。首先我们需要转换为另外一种格式的store(即pkcs12)。
  •  keytool -importkeystore -srcstoretype jks -srckeystore server/server.keystore.jks -deststoretype pkcs12 -destkeystore server/server.keystore.p12 -srcstorepass storepasswd -deststorepass storepasswd -srcalias kafka-server -srckeypass kafka-passwd -destkeypass storepasswd
  • 注意,大多数工具对pkcs12格式的keystore要求storepass和keypass一致。因此需要指定同一个值,否则如上命令会报错。因此,为了统一管理,有时候即使是jks的store,我们也可以考虑将storepass和keypass设置为相同值。
  • openssl pkcs12 -nodes -in server/server.keystore.p12 -out server/server.pem

     

暂时写这么多,后续根据使用情况补充。

 

 

 

 

 

【项目实战】使用Java Keytool工具生成的CSR给第三方云平台签名
本本本添哥
01-16 1040
客户要求我们提供一个CSR文件,给他们签名,他们的服务器是部署在Amazon上的。具体我要怎么做呢?
实战keytool 工具生成证书及签名
zacry的专栏
03-22 831
1. 生成密钥对: >keytool -genkaypair -alias tds_keystore2 -keyalg RSA -keystore E:/tds_keystore2.jks -keysize 1024 -validity3650 -storetype JKS -storepass xoxoxo 2. 生成签名请求(CSR): >keytool -certreq -keyalg RSA -alias tds_keystore2 -keystore e:/tds_ke...
keytool – 密钥和证书管理工具
KISS
05-27 1586
好文章,转载以备份 原文见http://www.sheca.com/service/newDoc/KeyTool%20MYHZSGLGJSYSC.doc   keytool – 密钥和证书管理工具: 管理由私钥和认证相关公钥的 X.509 证书链组成的密钥仓库(数据库)。还管理来自可信任实体的证书。 语法结构: keytool [ 命令 ] 说明: keytool 是个密钥和证书管
java keytool
11-28
java keytool 使用总结 结合网络资源,对keytool使用总结
java keytool 工具
山的那边
05-24 1万+
Keytool 是一个JAVA环境下的安全钥匙与证书的管理工具Keytool将密钥(key)和证书(certificates)存在一个称为keystore 的文件(受密码保护)中。 在keystore里,包含两种数据: 密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密) 可信任的证书实体(trusted certificate ent
java keytool用法
向北航行
08-07 2062
    Java 中的 keytool.exe (位于 JDK/Bin 目录下)可以用来创建数字证书,所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中,证书库中的一条证书包含该条证书的私钥,公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件,数字证书文件只包括主体信息和对应的公钥。     1.证书的显示 -list[-v | -rfc] [-alias ][
Javakeytool的使用
Event driven
10-26 193
Keytool是用于管理密钥和证书的工具,位于%JAVA_HOME%/bin目录。 keytool将密钥(key)和证书(certificates)保存在keystore文件里。 所以,在keystore中,包含两种数据: (1)密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密) (2)可信任的证书实体(trusted certifi...
Java Keytool工具简介
热门推荐
知行合一 止于至善
03-14 2万+
随着信息安全的重要性的日益提高,HTTP/FTP等越来越多的被迁到了 HTTPS/SFTP,SSL/TLS已经是避无可避,了解一些简单的加密算法的基本理论或者常见工具,或者如何生成和使用证书,这些都在工作中应用的愈加广泛。Java自带的Keytool工具就是这样的一种工具。被广泛的用语管理密钥和证书。 前提 keytool工具是JDK自带的工具,所以前提就是安装JDK。具体可以参照Mave
Java安全工具keytool实战指南
该手册主要聚焦于Java安全技术,其中详细介绍了keytool工具的作用和用法,这是Java开发者在实现应用程序安全性和管理密钥对时不可或缺的一部分。 在第10章"Java安全技术"中,keytool被用来管理Java应用程序的安全性...
Javakeytool非对称签名验证实战
"本文详细介绍了如何使用Javakeytool工具实现非对称签名和验证的过程,包括keytool的使用方法,如生成密钥对、查看密钥对和导出公钥证书,以及Java中的签名和验证操作。" 在Java中,非对称加密是一种重要的安全...
Java KeyTool使用
05-16
如何使用KeyTool创建 导出证书 如何将证书导入java信任证书库 如何将证书导入指定的密钥库 以及数字证书的基本概念
javakeytool命令的使用
08-11
java中关于SSL的证书和密钥的形成,关于keytool命令行代码的解释!
Java安全项目实战指南
项目组成员需要对Java安全模型有深入的了解,并且掌握如何使用Java安全API和相关工具来构建安全可靠的应用程序。在实际开发过程中,还需遵循最佳实践,通过代码审查、安全测试等手段确保应用的安全性。同时,为了...
Java——Keytool工具详解
最新发布
吴声子夜歌的博客
11-27 4581
示例:正常的CA签发证书需要收费,所以我们只能用acton.keystore密钥库中的acton的私钥来签发acton.csr,自己给自己签发证书。keytooljava原生自带,安装java后不需要再进行安装,作为密钥和证书管理工具,方便用户能够管理自己的公钥/私钥及证书,用于认证服务。此时已经生成了一个没有经过认证的数字证书,和一个JKS格式的密钥库。示例:将自己签发完毕的acton_sign.cer导入到密钥库。示例:修改acton为newacton。示例:修改密钥库密码。注意:密钥至少为6位。
Java制作证书的工具keytool用法总结
zgphacker2010的专栏
01-20 383
一、keytool的概念 keytool 是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务。在JDK1.4以后的版本中都包含了这一工具,它的位置为%JAVA_HOME%\bin\keytool.exe,如下图所示:、 二、keytool的用法 三、创建证书 创建证书主要是使用"-genkeypair",该命令的可用参数如下: 范例:生成一个名称为test1的证书 ...
JAVA keytool工具
itheimach的专栏
09-25 414
今天广州的天气热的要命,一个人在宿舍闲的蛋疼,就玩了玩keytool工具,下面进入正题。keytoolkeytool命令在jdk的bin下,keytool.exe,他是干什么的?可以看到,keytool是密钥以及证书的管理工具,我们可以通过这个命令用户能够管理自己的公钥/私钥对及相关证书。把keytool的命令敲了一遍之后熟悉了。创建,管理证书我们就通过keytool命令来创建和管理证书。1.创建证
java 中的Keytool 工具
可可飞扬的博客
07-20 365
本文原始出处: http://blog.youkuaiyun.com/tony1130/article/details/5134318 1 简介 Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥(key)和证书(certificates)存在一个称keystore的文件中,在keystore里,包含两种数据:  密钥实体(Key entity)——密钥(secret key...
Java#keytool工具使用
上善若水
02-26 354
整理Java#keytool工具 这个工具的用途主要是管理java安全相关的认证证书、密钥,对证书或密钥条目的导入、导出、删除、变更。 1、创建证书 keytool -genkeypair -alias “org.ybygjy.ca” -keyalg “RSA” -keystore “d:\ca.keystore” 2、查看证书库 keytool -list -keystore d:...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值