Keytool 是安全鑰匙與證書的管理工具它管理一個存儲了私有鑰匙和驗證相應公共鑰匙的與它們相關聯的X 證書鏈的keystore(相當一個數據庫)
Keytool 是一個有效的安全鑰匙和證書的管理工具 它能夠使用戶使用數字簽名來管理他們自己的私有/公共鑰匙對管理用來作自我鑒定的相關的證書管理數據完整性和鑒定服務它還能使用戶在通信時緩存它們的公共鑰匙
一個證書是某一實體(個人公司等)的數字簽名指出其他實體的公共鑰匙(或其他信息)的詳細的值當數據被簽名後這個簽名信息被用來檢驗數據的完整性和真實性完整性指數據沒有被修改和篡改真實性指數據從任何產生和簽名的一方真正的傳輸到達
Keytool 把鑰匙和證書儲存到一個keystore默任的實現keystore的是一個文件它用一個密碼保護鑰匙
而另外的一個工具jarsigner用keystore中的信息產生或檢驗Java aRchive(jar文件)中的數字簽名
Keystore有兩個不同的入口:
鑰匙入口:保存了非常敏感的加密的鑰匙信息並且是用一個保護的格式存儲以防止未被授權的訪問以這種形式存儲的鑰匙是秘密鑰匙或是一個對應證書鏈中公有鑰匙的私有鑰匙
信任證書入口:包含一個屬於其他部分的單一公共鑰匙證書它之所以被稱為信任證書是因為keystore信任的證書中的公共鑰匙真正屬於證書所有者的身份識別
Keystore的別名:
所有的keystore入口(鑰匙和信任證書入口)是通過唯一的別名訪問別名是 不區分大小寫的如別名Hugo和hugo指向同一個keystore入口
可以在加一個入口到keystore的時候使用genkey參數來產生一個鑰匙對(公共鑰匙和私有鑰匙)時指定別名也可以用import參數加一個證書或證書鏈到信任證書
如:
keytool genkey alias duke keypass dukekeypasswd
其中duke為別名dukekeypasswd為duke別名的密碼這行命令的作用是產生一個新的公共/私有鑰匙對
假如你想修改密碼可以用:
keytool keypasswd alias duke keypass dukekeypasswd new newpass
將舊密碼dukekeypasswd改為newpass
Keystore的產生:
當使用genkey 或import或identitydb命令添加數據到一個keystore而當這個keystore不存在時產生一個keystore默認名是keystore存放到userhome目錄
當用keystore指定時將產生指定的keystore
Keystore的實現:
Keytool 類位於javasecurity包下提供一個非常好的接口去取得和修改一個keystore中的信息 目前有兩個命令行:keytool和jarsinger一個GUI工具Policy 可以實現keystore由於keystore是公開的用戶可以用它寫一些額外的安全應用程序
Keystore還有一個sun公司提供的內在實現它把keystore作為一個文件來實現利用了一個keystore類型(格式)JKS它用單獨的密碼保護每一個私有鑰匙也用可能不同的密碼保護整個keystore的完整性
支持的算法和鑰匙大小:
keytool允許用戶指定鑰匙對和注冊密碼服務供應者所提供的簽名算法缺省的鑰匙對產生算法是DSA假如私有鑰匙是DSA類型缺省簽名算法是SHAwithDSA假如私有鑰匙是RSA類型缺省算法是MDwithRSA
當產生一個DSA鑰匙對鑰匙必須在位之間對任何算法的缺省鑰匙大小是位
證書:
一個證書是一個實體的數字簽名指出其他實體的公共鑰匙有明確的值
公共鑰匙 :是同一個詳細的實體的數字關聯並有意讓所有想同這個實體發生信任關系的其他實體知道公共鑰匙用來檢驗簽名;
數字簽名:假如數據已被簽名並用身份存儲在一個實體中一個簽名能夠證明這個實體知道這個數據這個數據用實體私有鑰匙簽名並遞交;
身份:知道實體的方法在一些系統中身份是公共鑰匙其他系統中可以是從一個X名字的郵件地址的Unix UID來的任何東西;
簽名:一個簽名用用實體私有鑰匙來計算某些加密數據;
私有鑰匙:是一些數字每一個私有鑰匙只能被特定的擁有該私有鑰匙的實體知道私有和公共鑰匙存在所有用公共鑰匙加密的系統的鑰匙對中一個公共鑰匙加密(如DSA)一個私有鑰匙與一個正確的公共鑰匙通信私有鑰匙用來計算簽名
實體:一個實體可以是一個人一個組織一個程序一台計算機一個商業一個銀行或其他你想信任的東西
Keytool應用實例:
產生一個keystore:
keytool genkey alias User(keystore的別名) keyalg RSA validity keystore keystore(指定keystore)
運行這個命令系統提示:
Enter keystore password:yourpassword(輸入密碼)
What is your first and last name?
[Unknown]: your name(輸入你的名字)
What is the name of your organizational unit?
[Unknown]:your organizational(輸入你所在組織單位的名字)
What is the name of your organization?
[Unknown]:your organization name (輸入你所在組織的名字)
What is the name of your City or Locality?
[Unknown]:your city name(輸入所在城市的名字)
What is the name of your State or Province?
[Unknown]:your provice name(輸入所在省份名字)
What is the twoletter country code for this unit?
[Unknown]:cn(輸入國家名字)
Is CN=your name OU=your organizaion O=your organization name
L=your city name ST=your province name C=cn correct?
[no]: yes
檢查一個keystore:
keytool list v keystore keystore
Enter keystore password:your password(輸入密碼)
將顯示keystore內容如:
Keystore type: jks
Keystore provider: SUN
Your keystore contains entry
Alias name: yourname
Creation date: Dec
Entry type: keyEntry
Certificate chain length:
Certificate[]:
Owner: CN=yourname OU=your organization O=your organization name
L=your city name ST=your province name C=CN
Issuer: CN=Duke OU=Java Software O=Sun Microsystems Inc L=Palo Alto ST=CA C=US
Serial number: cadc
Valid from: Thu Dec :: PST until: Thu Dec :: PST
Certificate fingerprints:
MD: F:B:B:A:F::CF::CF:F:FF::F:C:C:F
SHA: B:::DD:B:CC:::::F::AA:AF:A:D:E::C:
輸出keystore到一個文件:testkey:
keytool export alias duke keystore keystore rfc file testkey
系統輸出:
Enter keystore password:your password(輸入密碼)
Certificate stored in file
輸入證書到一個新的truststore:
keytool import alias dukecert file testkey keystore truststore
Enter keystore password:your new password(輸入truststore新密碼)
檢查truststore:
keytool list v keystore truststore
系統將顯示truststore的信息
現在可以用適當的keystore運行你的應用程序如:
java sslkeyStore=keystore sslkeyStorePassword=password Server
和: java ssltrustStore=truststore
ssltrustStorePassword=trustword Client
From:http://tw.wingwit.com/Article/program/Java/hx/201311/25684.html
