使用keytool管理数字证书

喜欢而已 提交于 2019-12-10 02:39:43

keytool是Java的数字证书管理工具,用于数字证书的生成,导入,导出与撤销等操作。它与本地密钥库关联,并可以对本地密钥库进行管理,可以将私钥存放于密钥库中,而公钥使用数字证书进行输出。keytool在jdk安装目录的bin文件夹下:

构建自签名证书

在构建CSR之前,需要先在密钥库中生成本地数字证书,此时需要提供用户的身份、加密算法、有效期等一些数字证书的基本信息:

keytool -genkeypair -keyalg RSA -keysize 1024 -sigalg MD5withRSA \
-validity 365 -alias www.mydomain.com -keystore ~/my.keystore

参数介绍:

-genkeypair——产生密钥对

-keyalg——指定加密算法

-keysize——指定密钥长度

-sigalg——指定签名算法

-validity——证书有效期

-alias——证书别名

-keystore——指定密钥库的位置

执行结果:

证书导出

执行了上面的命令后,我们已经生成了一个本地数字证书,虽然还没有经过证书认证机构进行认证,但并不影响使用,我们可以使用相应的命令对证书进行导出。

keytool -exportcert -alias  \ 
-keystore ~/my.keystore -file /tmp/my.cer -rfc

参数介绍:

-exportcert——执行证书导出

-alias——密钥库中的证书别名

-keystore——指定密钥库文件

-file——导出的文件输出路径

-rfc——使用Base64格式输出

执行结果:

证书导出后,可以使用打印证书命令查看证书内容:

keytool -printcert -file /tmp/my.cer

参数介绍:

-printcert——执行证书打印命令

-file——指定证书文件路径

执行结果:

导出CSR文件

如果想得到证书认证机构的认证,需要导出数字证书并签发申请(Cerificate Signing Request),经证书认证机构认证并颁发后,再将认证后的证书导入本地密钥库与信任库。

导出CSR文件命令:

keytool -certreq -alias  \ 
 -keystore ~/my.keystore -file /tmp/my.csr -v

参数介绍:

-certreq——执行证书签发申请导出操作

-alias——证书的别名

-keystore——使用的密钥库文件

-file——输出的csr文件路径

-v——显示详细情况

执行结果:

导出CSR文件后,便可以到VeriSign、GeoTrust等权威机构进行证书认证了。

证书导入

获得证书认证机构办法的数字证书后,需要将其导入信任库。

导入数字证书的命令:

keytool -importcert -trustcacerts -alias www.mydomain.com \
-file /tmp/my.cer -keystore ~/my.keystore

参数介绍:

-importcert——执行导入证书操作

-trustcacerts——将证书导入信任库

-alias——证书别名

-file——要导入的证书文件的路径

-keystore——指定密钥库文件

导入证书成功后,可以通过list命令来查看密钥库中的证书:

keytool -list -alias www.mydomain.com -keystore ~/my.keystore

执行结果如下:

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!