keytool 命令總結(jié)

一、創(chuàng)建數(shù)字證書

交互模式

使用默認(rèn)的密鑰庫.keystore(目錄是c:?Documents?and?Setting用戶名)和算法(DSA)

keytool?-genkey

默認(rèn)的別名mykey

密鑰庫中可以存放多個條目（公鑰/私鑰對和證書），它們在密鑰庫中以別名(alias)區(qū)分。

keytool?-genkey?-alias?mytest?-keyalg?RSA?-keysize?1024?-keystore?mykeystore?-validity?4000

其中，

-keyalg參數(shù)可以指定密鑰的算法，如果需要指定密鑰的長度，可以再加上-keysize參數(shù)。密鑰長度默認(rèn)為1024位，使用DSA算法時，密鑰長度必須在512到1024之間，并且是64的整數(shù)倍。

-keystore參數(shù)可以指定密鑰庫的名稱。密鑰庫其實是存放密鑰和證書的文件，密鑰庫對應(yīng)的文件如果不存在自動創(chuàng)建。

-validity參數(shù)可以指定所創(chuàng)建的證書有效期是多少天。

非交互模式：

keytool?-genkey?-dname?"CN=tmp,?OU=NC,?O=Shanghai?University,?L=ZB,?ST=Shanghai,?C=CN"?-alias?tmp?-keyalg?RSA?-keystore?mykeystore?-keypass?wshr.ut?-storepass?wshr.ut??-validity?1000

?

二、數(shù)字證書的顯示（從密鑰庫中）

默認(rèn)密鑰庫全部證書信息

keytool?-list?-v(顯示詳細(xì)信息)

顯示指定密鑰庫指定條目證書信息（包含了發(fā)照者（簽發(fā)者）、序號、有效期、MD5和SHA1認(rèn)證指紋等額外信息）

keytool?-list?-v?-keystore?lfkeystore?-alias?lf

?

三、使用Keytool將數(shù)字證書導(dǎo)出到文件

將指定的證書從密鑰庫導(dǎo)出為沒編碼過的文件。

keytool?-export?-alias?lf?-file?lf.cer??-keystore?lfkeystore?

?

四、使用Keytool從文件中顯示證書

keytool?-printcert?-file??lf.cer

?

五、在Windows中從文件顯示證書

只要文件名以.cer為后綴，Windows操作系統(tǒng)就可以直接識別。如在Windows中雙擊lf.cer圖標(biāo)，將出現(xiàn)證書窗口。其中包含了證書的所有者、頒發(fā)者、有效期等信息。

點擊“詳細(xì)資料”，可以看到證書的版本、序號、簽名算法、頒發(fā)者、有效期、主題（即全名）、公鑰算法、拇印算法、拇印等信息。其中的拇印即認(rèn)證指紋。

?

六、密鑰庫的維護

使用Keytool刪除指定條目

keytool?-delete?-alias?tmp1?-keystore?mykeystore

使用Keytool修改指定條目的口令

keytool?-keypasswd?-alias?tmp1?-keystore?mykeystore

（非交互模式:keytool?-keypasswd?-alias?tmp1?-keystore?mykeystore?-storepass?wshr.ut?-keypass?123456?-new?080302,其中080302為原密碼，123456為新密碼?）

Java程序列出密鑰庫所有條目

?

相關(guān)知識點：Java程序讀取證書和顯示證書指定信息????Java程序?qū)崿F(xiàn)密鑰庫的維護

?

證書生成應(yīng)用實例：

執(zhí)行命令前先保證文件夾存在。例如：在c盤建立keystore文件夾
第一步：為服務(wù)器生成證書?

確定域名：本機中域名解析修改文件是C:WINDOWSsystem32driversetchosts
使用keytool?為?Tomcat?生成證書和密鑰庫，假定目標(biāo)機器的域名是“?hepengfei?”，?keystore?文件存放在“?C:keystoreserver?”，口令為“?080302?”，命令如下：?
keytool?-genkey?-v?-keystore?C:keystoreserver?-alias?serverkey?-keyalg?RSA?-validity?3650?-dname?"CN=hepengfei,OU=cn,O=cn,L=cn,ST=cn,c=cn"?-storepass?080302?-keypass?080302?

生成server.cer安裝在客戶端解決服務(wù)器信任問題：

keytool?-export?-keystore?C:keystoreserver?-alias?serverkey?-file?c:keystoreserver.cer?-storepass?080302?

第二步：為客戶端生成證書?

（注意：個人證書的生成和使用比較特別，是分開的。先生成p12文件，然后導(dǎo)出cer文件，再將cer文件導(dǎo)入默認(rèn)類型的keystore（JKS）文件）
這一步是為瀏覽器生成證書，以便讓服務(wù)器來驗證它。為了能將證書順利導(dǎo)入至IE?和?Firefox?，證書格式應(yīng)該是?PKCS12?，因此，使用如下命令生成：?

keytool?-genkey?-v?-keystore?C:keystoreuser.p12?-alias?MyPC?-keyalg?RSA?-storetype?PKCS12?-validity?3650?-dname?"CN=MyPC,OU=cn,O=cn,L=cn,ST=cn,c=cn"?-storepass?080302?-keypass?080302?

服務(wù)器要信任客戶端證書，就必須把客戶端證書添加為服務(wù)器的信任認(rèn)證。由于不能直接將?PKCS12?格式的證書庫導(dǎo)入，我們必須先把客戶端證書導(dǎo)出為一個單獨的?CER?文件，使用如下命令：?
keytool?-export?-alias?MyPC?-keystore?C:keystoreuser.p12?-storetype?PKCS12?-storepass?080302?-rfc?-file?C:keystoreuser.cer?

接著，將C:user.cer導(dǎo)入到服務(wù)器的證書庫，添加為一個信任證書：?
keytool?-import?-v?-file?C:keystoreuser.cer?-keystore?c:keystoreservertrust?-alias?user?-storepass?080302

輸入“是”確認(rèn)完成。

通過list?命令查看：?
keytool?-list?-keystore?c:\keystore\servertrust?-storepass?080302?

也可以考慮將服務(wù)器證書和服務(wù)器信任證書放到一個密鑰庫中

第四步：配置Tomcat?服務(wù)器?

打開Tomcat?根目錄下的?/conf/server.xml?，修改如下：?

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
?????????????? maxThreads="150" scheme="https" secure="true"

?????????????? clientAuth="true"?sslProtocol="TLS"

???????????????keystoreFile="C:\Java\Tomcat\conf\keystore\server"?keystorePass="080302"

?????????????? truststoreFile="C:\Java\Tomcat\conf\keystore\servertrust"?truststorePass="080302"?

/>

詳細(xì)解釋見本節(jié)最前面介紹。

?

安裝個人證書user.p12（密碼：080302）和服務(wù)器證書server.cer
到這里啟動tomcat，輸入?https://hepengfei:8443/Test，就OK了。?

?

如果數(shù)字證書注冊名稱不是127.0.0.1，而是對應(yīng)的一個hepengfei，

使用ip訪問（https://127.0.0.1:8443/Test）可以進入選擇數(shù)字證書界面（仿真格式）：?

選擇數(shù)字證書

????名稱?????頒發(fā)商

????MyPC?????MyPC

????詳細(xì)信息??查看證書

????????確定???取消

注意點：

keytool?-list?-v?-keystore?user

使用的庫要privateKeyEntry

信任的庫要trustedCertEntry

ConvertKeystoreType.java用于轉(zhuǎn)換密鑰庫類型（PKCS12與JKS格式證書庫轉(zhuǎn)換工具）

ssl使用其中四個密鑰庫

https使用server、servertrust、user.p12(安裝到本地計算機)、server.cer四個

?

生成證書請求：

keytool?-certreq?-alias?tomcat_server?-sigalg?MD5withRSA?-file?tomcat_server.csr?-keypass?123456?-storepass?123456?-keystore?server_keystore?

?

PKCS12

使用Keytool列出pkcs12證書的內(nèi)容
keytool?-rfc?-list?-keystore?tomcat_client.p12?-storetype?pkcs12

使用Keytool導(dǎo)出pkcs12證書的公鑰證書

keytool??-keystore?tomcat_client.p12?-storetype?pkcs12?-export?-alias?mypc?-file?mypc.cer

?

將已經(jīng)簽名的證書導(dǎo)入密鑰庫（覆蓋原來的公鑰）

先導(dǎo)入證書鏈中的相關(guān)信任證書，再導(dǎo)入已經(jīng)簽名的證書（別名與私鑰證書別名保持一樣）。

?

轉(zhuǎn)載于:https://www.cnblogs.com/suncoolcat/p/3398049.html

總結(jié)

以上是生活随笔為你收集整理的keytool命令总结的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。