是一個(gè)JAVA環(huán)境下的安全鑰匙與證書的管理工具.它管理一個(gè)存儲了私有鑰匙和驗(yàn)證相應(yīng)公共鑰匙的與它們相關(guān)聯(lián)的X.509 證書鏈的keystore(相當(dāng)一個(gè)數(shù)據(jù)庫,里面可存放多個(gè)X.509標(biāo)準(zhǔn)的證書).
Keytool 是一個(gè)有效的安全鑰匙和證書的管理工具. 它能夠使用戶使用數(shù)字簽名來管理他們自己的私有/公共鑰匙對,管理用來作自我鑒定的相關(guān)的證書,管理數(shù)據(jù)完整性和鑒定服務(wù).它還能使用戶在通信時(shí)緩存它們的公共鑰匙.
一個(gè)證書是某一實(shí)體(個(gè)人,公司等)的數(shù)字簽名,指出其他實(shí)體的公共鑰匙(或其他信息)的詳細(xì)的值.當(dāng)數(shù)據(jù)被簽名后,這個(gè)簽名信息被用來檢驗(yàn)數(shù)據(jù)的完整性和真實(shí)性.完整性指數(shù)據(jù)沒有被修改和篡改,真實(shí)性指數(shù)據(jù)從任何產(chǎn)生和簽名的一方真正的傳輸?shù)竭_(dá).
Keytool 把鑰匙和證書儲存到一個(gè)keystore.默任的實(shí)現(xiàn)keystore的是一個(gè)文件.它用一個(gè)密碼保護(hù)鑰匙.
1.鑰匙入口:保存了非常敏感的加密的鑰匙信息,并且是用一個(gè)保護(hù)的格式存儲以防止未被授權(quán)的訪問.以這種形式存儲的鑰匙是秘密鑰匙,或是一個(gè)對應(yīng)證書鏈中公有鑰匙的私有鑰匙.
2.信任證書入口:包含一個(gè)屬于其他部分的單一公共鑰匙證書.它之所以被稱為"信任證書",是因?yàn)閗eystore信任的證書中的公共鑰匙真正屬于證書所有者的身份識別.
所有的keystore入口(鑰匙和信任證書入口)是通過唯一的別名訪問.別名是 不區(qū)分大小寫的.如別名Hugo和hugo指向同一個(gè)keystore入口.
可以在加一個(gè)入口到keystore的時(shí)候使用-genkey參數(shù)來產(chǎn)生一個(gè)鑰匙對(公共鑰匙和私有鑰匙)時(shí)指定別名.也可以用-import參數(shù)加一個(gè)證書或證書鏈到信任證書,例如:
keytool -genkey -alias myssl -keypass mysslpasswd
其中myssl為別名,mysslpasswd為myssl別名的密碼.這行命令的作用是產(chǎn)生一個(gè)新的公共/私有鑰匙對.
假如你想修改密碼,可以用:
keytool -keypasswd -alias myssl -keypass mysslpasswd -new newpass
將舊密碼mysslpasswd改為newpass.
1.當(dāng)使用-genkey 或-import或-identitydb命令添加數(shù)據(jù)到一個(gè)keystore,而當(dāng)這個(gè)keystore不存在時(shí),產(chǎn)生一個(gè)keystore.默認(rèn)名是.keystore,存放到user-home目錄.
2.當(dāng)用-keystore指定時(shí),將產(chǎn)生指定的keystore.
Keytool 類位于java.security包下,提供一個(gè)非常好的接口去取得和修改一個(gè)keystore中的信息. 目前有兩個(gè)命令行:keytool和jarsinger,一個(gè)GUI工具Policy 可以實(shí)現(xiàn)keystore.由于keystore是公開的,用戶可以用它寫一些額外的安全應(yīng)用程序.
Keystore還有一個(gè)sun公司提供的內(nèi)在實(shí)現(xiàn).它把keystore作為一個(gè)文件來實(shí)現(xiàn).利用了一個(gè)keystore類型(格式)"JKS".它用單獨(dú)的密碼保護(hù)每一個(gè)私有鑰匙.也用可能不同的密碼保護(hù)整個(gè)keystore的完整性.
keytool允許用戶指定鑰匙對和注冊密碼服務(wù)供應(yīng)者所提供的簽名算法.缺省的鑰匙對產(chǎn)生算法是"DSA".假如私有鑰匙是"DSA"類型,缺省簽名算法是"SHA1withDSA",假如私有鑰匙是"RSA"類型,缺省算法是"MD5withRSA".
當(dāng)產(chǎn)生一個(gè)DSA鑰匙對,鑰匙必須在512-1024位之間.對任何算法的缺省鑰匙大小是1024位.
keytool -genkey -alias myssl -keyalg RSA -keystore myssl.jks
運(yùn)行這個(gè)命令,系統(tǒng)提示:
yourpassword(輸入密碼)
[Unknown]: www.myssl.cn(輸入申請的證書的域名)
[Unknown]:Fastcom(輸入你所在組織單位的名字)
[Unknown]:Fastcom (輸入你所在組織的名字)
[Unknown]:Shanghai(輸入所在城市的名字)
[Unknown]:Shanghai(輸入所在省份名字)
[Unknown]:CN(輸入國家名字,如果是中國,請輸入CN)
yes
keytool -list -v -keystore myssl.jks
yourpassword(輸入密碼)
將顯示keystore內(nèi)容如下:
Keystore type: jks
Keystore provider: SUN
Your keystore contains 1 entry
Alias name: myssl
Creation date: Nov 24 , 2006
Entry type: keyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=www.myssl.cn, OU=fatcom, O=fastcom, L=Shanghai, ST=Shanghai, C=CN
Issuer: CN=www.myssl.cn, OU=fastcom, O=fastcom, L=Shanghai, ST=Shanghai, C=CN
Serial number: 3c22adc1
Valid from: Thu Nov 24 19:34:25 PST 2006 until: Thu Nov 24 19:34:25 PST 2007
Certificate fingerprints:
MD5: F1:5B:9B:A1:F7:16:CF:25:CF:F4:FF:35:3F:4C:9C:F0
SHA1: B2:00:50:DD:B6:CC:35:66:21:45:0F:96:AA:AF:6A:3D:E4:03:7C:74
keytool -export -alias myssl -keystore myssl.jks -rfc -file testkey
系統(tǒng)輸出:
your password(輸入密碼)
Certificate stored in file
keytool -import -alias myssl -file testkey -keystore truststore
your new password.(輸入truststore新密碼)
keytool -list -v -keystore truststore
系統(tǒng)將顯示truststore的信息.
| 參數(shù) |
說明 |
| -genkey |
在用戶主目錄中創(chuàng)建一個(gè)默認(rèn)文件".keystore",還會產(chǎn)生一個(gè)mykey的別名,mykey中包含用戶的公鑰、私鑰和證書 |
| -alias |
別名 |
| -keystore |
指定密鑰庫的名稱(產(chǎn)生的各類信息將不在.keystore文件中 |
| -keyalg |
指定密鑰的算法 |
| -validity |
指定創(chuàng)建的證書有效期多少天 |
| -keysize |
指定密鑰長度 |
| -storepass |
指定密鑰庫的密碼 |
| -keypass |
指定別名條目的密碼 |
| -dname |
指定證書擁有者信息 例如: "CN=sagely,OU=atr,O=szu,L=sz,ST=gd,C=cn" |
| -list |
顯示密鑰庫中的證書詳細(xì)信息 |
| -export |
將別名指定的證書導(dǎo)出到文件 keytool -export -alias caroot -file caroot.crt |
| -file |
參數(shù)指定導(dǎo)出到文件的文件名 |
| -delete |
刪除密鑰庫中某條目 |
| -keypasswd |
修改密鑰庫中指定條目口令 keytool -keypasswd -alias sage -keypass .... -new .... -storepass ... -keystore sage |
| -import |
將已簽名數(shù)字證書導(dǎo)入密鑰庫 keytool -import -alias sage -keystore sagely -file sagely.crt
導(dǎo)入已簽名數(shù)字證書用keytool -list -v 以后可以明顯發(fā)現(xiàn)多了認(rèn)證鏈長度,并且把整個(gè)CA鏈全部打印出來 |