Natural

keyTool的用法

轉(zhuǎn)自http://blog.chinaunix.net/u/3641/showart_506402.html
Xfire實現(xiàn)WSS之創(chuàng)建密鑰對和數(shù)字證書
簽名和加密需要使用到數(shù)字證書和密鑰對，可以使用JDK提供的KeyTool工具創(chuàng)建密鑰對和數(shù)字證書。我們分別為服務(wù)端和客戶端創(chuàng)建RSA密鑰 對，并生成各自的數(shù)字證書（包含公鑰和數(shù)字簽名）。服務(wù)端和客戶端擁有各自的密鑰庫JKS文件，服務(wù)端的密鑰庫保存服務(wù)端的密鑰對和客戶端的數(shù)字證書，而 客戶端的密鑰庫保存客戶端的密鑰對和服務(wù)端的數(shù)字證書。

下面，我們來看看xfire提供的例子：

<XFIRE_HOME>/examples/ws-security/keys/generateKeyPair.bat批處理文件：
rem @echo off

#接受參數(shù)

echo alias %1

echo keypass %2

echo keystoreName %3

echo KeyStorePass %4

echo keyName %5

創(chuàng)建RSA密鑰對
keytool -genkey -alias %1 -keypass %2 -keystore %3 -storepass %4 -dname "cn=%1" -keyalg RSA
使用私鑰進行自簽名
keytool -selfcert -alias %1 -keystore %3 -storepass %4 -keypass %2
導(dǎo)出數(shù)字證書
keytool -export -alias %1 -file %5 -keystore %3 -storepass %4
<XFIRE_HOME>/examples/ws-security/keys/generateServerKey.bat文件：
下面兩行命名分別調(diào)用generateKeyPair.bat批處理文件為服務(wù)端和客戶端生成密鑰對
call generateKeyPair.bat server serverpass serverStore.jks storepass serverKey.rsa
call generateKeyPair.bat client clientpass clientStore.jks storepass clientKey.rsa
將服務(wù)端的數(shù)字證書導(dǎo)入客戶端的密鑰庫
keytool -import -alias server -file serverKey.rsa -keystore clientStore.jks -storepass storepass -noprompt
將客戶端的數(shù)字證書導(dǎo)入服務(wù)端的密鑰庫
keytool -import -alias client -file clientKey.rsa -keystore serverStore.jks -storepass storepass -noprompt
運行該批處理文件后，將分別為服務(wù)端和客戶端生成一個Java密鑰庫文件，它們分別擁有一個自己的密鑰對和對方的數(shù)字證書。我們通過表1對兩者密鑰庫文件的內(nèi)容進行說明：

表1密鑰庫說明


服務(wù)端Java密鑰庫
客戶端Java密鑰庫

對應(yīng)密鑰庫文件
serverStore.jks
clientStore.jks

密鑰庫密碼
storepass
storepass

庫中包含的內(nèi)容
server密鑰對、client數(shù)字證書
client密鑰對、server數(shù)字證書

密鑰對別名
server
client

密鑰對私鑰的保護密碼
serverpass
clientpass

posted on 2011-01-11 15:56 此號已被刪 閱讀(593) 評論(0)  編輯  收藏 所屬分類: JAVA