?

本文引自：http://www.iplab.cs.tsukuba.ac.jp/~liuxj/jdk1.2/zh/docs/tooldocs/solaris/keytool.html

說明
keytool是個密鑰和證書管理工具。它使用戶能夠管理自己的公鑰/私鑰對及相關證書，用于（通過數字簽名）自我認證（用戶向別的用戶/服務認證自己）或數據完整性以及認證服務。它還允許用戶儲存他們的通信對等者的公鑰（以證書形式）。

證書是來自一個實體（個人、公司等）的經數字簽名的聲明，它聲明某些其它實體的公鑰（及其它信息）具有某一的特定值（參見證書）。當數據被數字化簽名后，校驗簽名即可檢查數據的完整性和真實性。完整性的意思是數據沒有被修改或損壞過，真實性的意思是數據的確是來自聲稱創建了該數據和對它進行了簽名的實體。

keytool將密鑰和證書儲存在一個所謂的密鑰倉庫中。缺省的密鑰倉庫實現將密鑰倉庫實現為一個文件。它用口令來保護私鑰。

jarsigner 工具利用密鑰倉庫中的信息來產生或校驗 Java 存檔 (JAR) 文件的數字簽名 （JAR 文件將類文件、圖象、聲音和/或其它數字化數據打包在一個文件中）。jarsigner 用 JAR 文件所附帶的證書（包含于 JAR 文件的簽名塊文件中）來校驗 JAR 文件的數字簽名，然后檢查該證書的公鑰是否“可信任”，即是否包括在指定的密鑰倉庫中。

請注意：keytool和 jarsigner 工具完全取代了 JDK 1.1 中提供的 javakey 工具。這些新工具所提供的功能比 javakey 提供的多，包括能夠用口令來保護密鑰倉庫和私鑰，以及除了能夠生成簽名外還可以校驗它們。新的密鑰倉庫體系結構取代了 javakey 所創建和管理的身份數據庫。可以利用 -identitydbkeytool命令將信息從身份數據庫導入 密鑰倉庫。

密鑰倉庫項

在密鑰倉庫中有兩種不同類型的項：

?
1. 密鑰項 - 每項存放極為敏感的加密密鑰信息，這種信息以一種受保護的格式儲存以防止未授權的訪問。通常，儲存在這類項中的密鑰是機密密鑰，或是伴有用于認證相應公鑰用的證書“鏈”的私鑰。keytool 和 jarsigner 工具只處理后一類型的項，即私鑰及其關聯的證書鏈。
2. 可信任的證書項 - 每項包含一個屬于另一團體的公鑰證書。它之所以叫做“可信任的證書”，是因為密鑰倉庫的擁有者相信證書中的公鑰確實屬于證書“主體”（擁有者）識別的身份。證書簽發人通過對證書簽名來保證這點。

密鑰倉庫使用的別名

對所有的密鑰倉庫項（密鑰項和可信任的證書項）的訪問都要通過唯一的別名來進行。別名不區分大小寫，即別名 Hugo 和 hugo 指的是同一密鑰倉庫項。

當用 -genkey 命令來生成密鑰對（公鑰和私鑰）或用 -import 命令來將證書或證書鏈加到可信任證書的清單中，以增加一個實體到密鑰倉庫中，必須指定了一個別名。后續 keytool 命令必須使用這一相同的別名來引用該實體。

例如，假設您用別名 duke 生成了新的公鑰/私鑰密鑰對并將公鑰用以下命令打包到自簽名證書中（參見證書鏈）：

??? keytool -genkey -alias duke -keypass dukekeypasswd

這指定了一個初始口令“dukekeypasswd”，接下來的命令都要使用該口令才能訪問與別名 duke 相關聯的私鑰。以后如果您想更改 duke 的 私鑰口令，可用類似下述的命令：

??? keytool -keypasswd -alias duke -keypass dukekeypasswd -new newpass

這將把口令從“dukekeypasswd”改為“newpass”。

請注意：實際上，除非是作為測試目的或是在安全的系統上，否則不應在命令行或腳本中指定口令。如果沒有在命令行上指定所要求的口令選項，您將會得到要求輸入口令的提示。當在口令提示符下鍵入口令時，口令將被即時顯示出來（鍵入什么就顯示什么），因此，要小心，不要當著任何人的面鍵入口令。

密鑰倉庫位置

每個 keytool 命令都有一個 -keystore 選項，用于指定 keytool 管理的密鑰倉庫的永久密鑰倉庫文件名稱及其位置。缺省情況下，密鑰倉庫儲存在用戶宿主目錄（由系統屬性的“user.home”決定）中名為 .keystore 的文件中。在 Solaris 系統中“user.home”缺省為用戶的宿主目錄。

密鑰倉庫的創建

當用 -genkey、-import 或 -identitydb 命令向某個尚不存在的密鑰倉庫添加數據時，就創建了一個密鑰倉庫。

具體地說，如果在 -keystore 選項中指定了一個并不存在的密鑰倉庫，則該密鑰倉庫將被創建。

如果不指定 -keystore 選項，則缺省密鑰倉庫將是宿主目錄中名為 .keystore 的文件。如果該文件并不存在，則它將被創建。

密鑰倉庫實現

java.security 包中提供的 KeyStore 類為訪問和修改密鑰倉庫中的信息提供了相當固定的接口。可以有多個不同的具體實現，其中每個實現都是對某個特定類型的密鑰倉庫的具體實現。

目前，有兩個命令行工具（keytool 和 jarsigner）以及一個名為 Policy Tool 的基于 GUI 的工具使用密鑰倉庫實現。由于密鑰倉庫是公用的，JDK 用戶可利用它來編寫其它的安全性應用程序。

Sun Microsystems 公司提供了一個內置的缺省實現。它利用名為“JKS” 的專用密鑰倉庫類型（格式），將密鑰倉庫實現為一個文件。它用個人口令保護每個私鑰，也用口令（可能為另一個口令）保護整個密鑰倉庫的完整性。

密鑰倉庫的實現基于提供者 (provider)。更具體地說，由密鑰倉庫所提供的應用程序接口是借助于“服務提供者接口”(SPI) 來實現的。也就是說，在 java.security 包中還有一個對應的抽象 KeystoreSpi 類，它定義了“提供者”必須實現的服務提供者接口方法。（術語“提供者”指的是一個或一組包，這個或這組包提供了一部份可由 Java 安全 API 訪問的服務子集的具體實現。因此，要提供某個密鑰倉庫實現，客戶機必須實現一個“提供者”并實現 KeystoreSpi 子類，如如何為 Java 加密體系結構實現 Provider 中所述。

通過使用 KeyStore 類中提供的“getInstance”工廠方法，應用程序可從不同的提供者中挑選不同類型的密鑰倉庫實現。密鑰倉庫類型定義密鑰倉庫信息的存儲和數據格式，以及用于保護密鑰倉庫中的私鑰和密鑰倉庫自身完整性的算法。不同類型的密鑰倉庫實現是不兼容的。

keytool 使用基于文件的密鑰倉庫實現 （它把在命令行中傳遞給它的密鑰倉庫位置當成文件名處理并將之轉換為文件輸入流，從該文件輸入流中加載密鑰倉庫信息）。另一方面，jarsigner 和 policytool 工具可從任何可用 URL 指定的位置讀取某個密鑰倉庫。

對于 keytool 和 jarsigner，可在命令行用 -storetype 選項指定密鑰倉庫類型。對于 Policy Tool，可通過 “編輯”菜單中的“更改密鑰倉庫”命令來指定密鑰倉庫類型。

如果沒有明確指定一個密鑰倉庫類型，這些工具將只是根據安全屬性文件中指定的 keystore.type 屬性值來選擇密鑰倉庫實現。安全屬性文件名為 java.security，它位于 JDK 安全屬性目錄 java.home/lib/security 中，其中 java.home 為 JDK 的安裝目錄。

每個工具都先獲取 keystore.type 的值，然后檢查所有當前已安裝的提供者直到找到一個實現所要求類型的密鑰倉庫的實現為止。然后就使用該提供者的密鑰倉庫實現。

KeyStore 類定義了一個名為 getDefaultType 的靜態方法，它可讓應用程序或 applet 檢索 keystore.type 屬性的值。以下代碼將創建缺省密鑰倉庫類型（此類型由 keystore.type 屬性所指定。）的一個實例：

??? KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());

缺省的密鑰倉庫類型是“jks”（這是由“SUN”提供者提供的密鑰倉庫實現的專用類型）。它在安全性屬性文件中由下行進行指定：

??? keystore.type=jks

要讓工具使用不同于缺省類型的密鑰倉庫實現，可更改此行，指定不同的密鑰倉庫類型。

例如，如果您有一個這樣的提供者包，它給出一個名為“pkcs12”的密鑰倉庫類型的密鑰倉庫實現，則可將上面那行改為：

??? keystore.type=pkcs12

注意：密鑰倉庫類型的命名中大小寫無關緊要。例如，“JKS”將被認為是與“jks”相同的。

支持的算法和密鑰大小

keytool 允許用戶指定任何注冊了的加密服務提供者所提供的密鑰對生成和簽名算法。也就是說，各種命令中的 keyalg 和 sigalg 選項必須得到提供者的實現的支持。缺省的密鑰對生成算法是“DSA”。簽名算法是從所涉及私鑰的算法推導來的：如果所涉及的私鑰是“DSA”類型，則缺省的簽名算法為“SHA1withDSA”，如果所涉及的私鑰是“RSA”類型，則缺省的簽名算法為“MD5withRSA”。

在生成 DSA 密鑰對時，密鑰大小的范圍必須在 512 到 1024 位之間，且必須是 64 的倍數。缺省的密鑰大小為 1024 位。

證書

證書（也叫公鑰證書）是來自某個實體（簽發人）的經數字簽名的聲明，它聲明另一實體（主體）的公鑰（及其它信息）具有某一特定的值。

下面詳細解釋本句中使用的主要術語：

?

公鑰

是與特定實體相關聯的數字。所有需要與該實體進行信任交互的人都應知道該數字。公鑰用于校驗簽名。

經數字簽名

如果某些數據經數字簽名，說明它們已與某一實體的“身份”存儲在一起，而且證明該實體的簽名知道這些數據。通過用該實體的私鑰進行繪制，這些數據就是不可偽造的了。

身份

用于聲明實體的一種手段。某些系統中，身份是公鑰，而在另一些系統中則可以是 Unix UID、電子郵件地址或 X.509 特征名等等。

簽名

所謂簽名，就是用實體的（簽名人，在證書中也稱為簽發人）私鑰對某些數據進行計算。

私鑰

是一些數字，每個數字都應僅被以該數字作為私鑰的特定實體所知（即該數字應保密）。在所有公鑰密碼系統中，私鑰和公鑰均成對出現。在 DSA 等具體的公鑰密碼系統中，一個私鑰只對應一個公鑰。私鑰用于計算簽名。

實體

實體是您在某種程度上對其加以信任的個人、組織、程序、計算機、企業、銀行等。

通常，公鑰密碼系統需要訪問用戶的公鑰。在大型聯網環境中，并不能確保通信實體之間已經預先建立起關系，也無法確保受信任的儲存庫與所用的公鑰都存在。于是人們發明了證書作為公鑰分配問題的解決辦法。現在，認證機構 (CA) 可充當可信任的第三方。CA 是可信任的向其它實體簽名（發放）證書的實體（例如企業）。由于 CA 受法律協議約束，因此可認為它們只提供可靠有效的證書。公共認證機構數量很多，例如 VeriSign、Thawte、Entrust 等等。您還可以使用諸如 Netscape/Microsoft Certificate Servers 或 Entrust CA 等產品來自己運營認證機構。

使用 keytool 可以顯示、導入和導出證書。還可以產生自簽名證書。

keytool 目前處理 X.509 證書。

X.509 證書

X.509 標準規定了證書可以包含什么信息，并說明了記錄信息的方法（數據格式）。除了簽名外，所有 X.509 證書還包含以下數據：

?

版本

識別用于該證書的 X.509 標準的版本，該版本影響證書中所能指定的信息。迄今為止，已定義的版本有三個。keytool 可導入和導出 v1、v2 和 v3 版的證書。它只能生成 v1 版證書。

序列號

發放證書的實體有責任為證書指定序列號，以使其區別于該實體發放的其它證書。此信息用途很多。例如，如果某一證書被撤消，其序列號將放到證書撤消清單 (CRL) 中。

簽名算法標識符

用于標識 CA 簽名證書時所用的算法。

簽發人名稱

簽名證書的實體的 X.500 特征名。它通常為一個 CA。使用該證書意味著信任簽名該證書的實體。注意：有些情況下（例如根或頂層 CA 證書），簽發人會簽名自己的證書。

有效期

每個證書均只能在一個有限的時間段內有效。該有效期以起始日期和時間及終止日期和時間表示，可以短至幾秒或長至一世紀。所選有效期取決于許多因素，例如用于簽名證書的私鑰的使用頻率及愿為證書支付的金錢等。它是在沒有危及相關私鑰的條件下，實體可以依賴公鑰值的預計時間。

主體名

證書可以識別其公鑰的實體名。此名稱使用 X.500 標準，因此在Internet中應是唯一的。它是實體的 X.500 特征名 (DN)，例如，

??? CN=Java Duke, OU=Java Software Division, O=Sun Microsystems Inc, C=US

（這些指主體的通用名、組織單位、組織和國家。）

主體公鑰信息

這是被命名實體的公鑰，同時包括指定該密鑰所屬公鑰密碼系統的算法標識符及所有相關的密鑰參數。

X.509 1 版 1988 年發布，已得到廣泛使用，是最常用的版本。

X.509 2 版引入了主體和簽發人唯一標識符的概念，以解決主體和/或簽發人名稱在一段時間后可能重復使用的問題。大多數證書監視文檔都極力建議不要重復使用主體或簽發人名稱，而且建議證書不要使用唯一標識符。版本 2 證書尚未得到廣泛使用。

X.509 3 版是最新的版本（1996 年）。它支持擴展的概念，因此任何人均可定義擴展并將其納入證書中。現在常用的擴展包括：KeyUsage（僅限密鑰用于特殊目的，例如“只簽名”）和 AlternativeNames（允許其它身份也與該公鑰關聯，例如 DNS 名、電子郵件地址、IP 地址）。擴展可標記為“極重要”，以表示該擴展應被檢查并執行或使用。例如，如果某一證書將 KeyUsage 擴展標記為“極重要”，而且設置為“keyCertSign”，則在 SSL 通訊期間該證書出現時將被拒絕，因為該證書擴展表示相關私鑰應只用于簽名證書，而不應該用于 SSL。

證書中的所有數據均用兩個名為 ASN.1/DER 的相關標準進行編碼。抽象語法注釋 1(Abstract Syntax Notation 1) 描述數據。確定性編碼規則 (Definite Encoding Rules) 描述儲存和傳輸該數據的唯一方式。

X.500 特征名

X.500 特征名用于標識實體，例如 X.509 證書的 主體和簽發人（簽名人）域所命名的實體。keytool 支持以下的子組件：

?
• commonName - 個人常用名，例如“Susan Jones”
• organizationUnit - 小型組織（例如部門或分部）的名稱，例如“Purchasing”
• organizationName - 大型組織的名稱，例如“ABCSystems, Inc.”
• localityName - 地方（城市）名，例如“Palo Alto”
• stateName - 州或省份名，例如“California”
• country - 兩個字母的國家代碼，例如“CH”

當給出一個特征名字符串作為 -dname 選項的值時，例如 -genkey 或 -selfcert 命令中的該選項，字符串必須為以下格式：

CN=cName, OU=orgUnit, O=org, L=city, S=state, C=countryCode

其中所有的斜體字代表實際值而上面的關鍵字是以下縮寫：

??????? CN=commonName
??????? OU=organizationUnit
??????? O=organizationName
??????? L=localityName
??????? S=stateName
??????? C=country

以下是特征名字符串樣本：

CN=Mark Smith, OU=JavaSoft, O=Sun, L=Cupertino, S=California, C=US

以下是使用這一字符串的樣本命令：

keytool -genkey -dname "CN=Mark Smith, OU=JavaSoft, O=Sun, L=Cupertino,
S=California, C=US" -alias mark

大小寫對關鍵字縮寫無關緊要。例如，“CN”、“cn”和“Cn”都將被當作是一樣的。

但順序是有關系的；每個子組件必須按設計好的順序出現。但是，不是所有子組件都必須有。可以只用一部分，例如：

CN=Steve Meier, OU=SunSoft, O=Sun, C=US

如果特征名字符串的值含有逗號，當在命令行指定該字符串時，逗號必須用“\”字符來進行轉義，如下所示：

?? cn=peter schuster, o=Sun Microsystems\, Inc., o=sun, c=us

在命令行中指定特征名字符串是不必要的。如果某一命令需要指定特征名字符串，而在命令行中又未提供，則用戶將得到每個子組件的提示。這種情況下，逗號不需要用“\”來轉義。

Internet RFC 1421 證書編碼標準

證書常用 Internet RFC 1421 標準中定義的可打印的編碼格式來存儲，而不是用其二進制編碼來存儲。這種證書格式，也稱“Base 64 編碼”，便于通過電子郵件或其它機制將證書導出到別的應用程序中。

用 -import 和 -printcert 命令讀入的證書可以是這種格式的編碼或是二進制格式的編碼。

缺省情況下，-export 命令將以二進制編碼格式輸出證書，但如果指定了 -rfc 選項，則將以可打印的編碼格式輸出證書。

缺省情況下，-list 命令打印證書的 MD5 指紋。而如果指定了 -v 選項，將以可讀格式打印證書，如果指定了 -rfc 選項，將以可打印的編碼格式輸出證書。

在其可打印的編碼格式中，已編碼證書的起始行是：

-----BEGIN CERTIFICATE-----

結束行是：

-----END CERTIFICATE-----

證書鏈

keytool 可創建和管理密鑰倉庫的“密鑰”項，每個密鑰項都含有私鑰和相關證書“鏈”。鏈中的第一個證書含有與私鑰對應的公鑰。

當第一次產生密鑰時（參見 -genkey 命令），鏈中只含有一個元素，即自簽名證書。自簽名證書是一個這樣的證書：其簽發人（簽名人）與主體（證書所認證的公鑰所屬的實體）相同。當調用 -genkey 命令來生成新的公鑰/私鑰對時，它同時也把公鑰打包進自簽名證書中。

之后，當證書簽名請求 (CSR) （參見 -certreq 命令）被生成并送至認證機構 (CA) 后，CA 的答復將被導入（參見 -import），證書鏈將取代自簽名證書。在鏈的底部是認證主體公鑰的 CA 所發放的證書（答復）。鏈中下一個證書是用于認證 CA 公鑰的證書。

在許多情況下，這是個自簽名證書（即來自認證其自身公鑰的 CA 的證書）且是鏈中的最后一個證書。在其它情況下，CA 也許將返回證書鏈。這種情況下，鏈中底部的證書是相同的（由 CA 簽名的證書，對密鑰項的公鑰進行認證），但鏈中第二個證書是由不同的 CA 所簽名的，對您向其發送 CSR 的 CA 的公鑰進行認證。然后，鏈中的下一個證書將是對第二個 CA 的公鑰進行認證的證書，以此類推，直至到達自簽名的“根”證書為止。因此，鏈中的每個證書（從第一個以后）都對鏈中前一個證書的簽名人的公鑰進行認證。

許多 CA 只返回所發放的證書，而不支持鏈，特別是當層次結構較簡單時（無中介 CA）。這種情況下，必須用儲存在密鑰倉庫中的可信任的證書信息來建立證書鏈。

另一種答復格式（由 PKCS#7 標準所定義）除了包含所簽發的證書外，還支持證書鏈。兩種答復格式都可由 keytool 處理。

頂層（根）CA 證書是自簽名的。但是，對根公鑰的信任并非來自根證書本身（任何人都可用特征名來產生自簽名證書！譬如說用 VeriSign 根 CA 的特征名）, 而是來自報紙之類的其它來源。根 CA 的公鑰是廣為人知的。它被儲存在證書中的唯一原因是因為這是大多數工具所能理解的格式，因此這種情況下的證書只是作為一種傳輸根 CA 的公鑰用的“交通工具”。在將根 CA 證書加到您的密鑰倉庫中之前，應該先對它進行查看（用 -printcert 選項）并將所顯示的指紋與已知的指紋（從報紙、根 CA 的網頁等中獲取）進行比較。

導入證書

要從一個文件中導入某個證書，可用 -import 命令，如下所示：

??? keytool -import -alias joe -file jcertfile.cer

此樣本命令導入文件 jcertfile.cer 中的證書并將其存儲在由別名 joe 標識的密鑰倉庫項中。

導入證書的兩個理由如下：

?
1. 為將其添加到可信任的證書清單中，或
2. 為導入因向 CA 提交證書簽名請求（參見 -certreq 命令）而收到的來自該 CA 的認證答復。

-alias 選項的值指明要進行何種類型的導入。如果數據庫中存在別名，且該別名標識具有私鑰的項，則將假定您要導入認證答復。keytool 將檢查認證答復中的公鑰是否與用別名儲存的私鑰相匹配，如果兩者不同，則程序退出。如果別名標識另一種類型的密鑰倉庫項，則不導入該證書。如果該別名不存在，則它將被創建并與導入的證書關聯。

有關導入可信任證書的警告

重要：將證書作為可信任的證書導入之前，請務必先仔細檢查該證書！

先查看一下（用 -printcert 命令，或用不帶 -noprompt 選項的 -import 命令），確保所顯示的證書指紋與所預計的相匹配。例如，假設某人給您送來或用電子郵件發來一個證書，您將它放在名為 /tmp/cert 的文件中。在將它加到可信任證書的清單中之前，可通過執行 -printcert 命令來查看它的指紋，如下所示：

? keytool -printcert -file /tmp/cert
??? Owner: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll
??? Issuer: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll
??? Serial Number: 59092b34
??? Valid from: Thu Sep 25 18:01:13 PDT 1997 until: Wed Dec 24 17:01:13 PST 1997
??? Certificate Fingerprints:
???????? MD5： 11:81:AD:92:C8:E5:0E:A2:01:2E:D4:7A:D7:5F:07:6F
???????? SHA1: 20:B6:17:FA:EF:E5:55:8A:D0:71:1F:E8:D6:9D:C0:37:13:0E:5E:FE

然后給向您發送證書的人打電話或用其它方式聯系，將您將您所看到的指紋與他們所提供的比較。只有兩者相等才可保證證書在傳送途中沒有被其它人（例如，攻擊者）的證書所更換。如果發生了這樣的攻擊，而您未檢查證書即將其導入，您就會信任攻擊者所簽名的任何東西（例如，一個含有惡意類文件的 JAR 文件）。

注意：并不要求在導入證書前執行 -printcert 命令，因為在將證書添加到密鑰倉庫中可信任證書的清單中之前，-import 命令將會打印出該證書的信息，并提示您進行校驗。這時，您可選擇中止導入操作。但是注意，只有在調用不帶 -noprompt 選項的 -import 命令時才能這樣做。如果給出了 -noprompt 選項，則不存在與用戶的交互

導出證書

要將證書導出到文件中，請用 -export 命令，如下所示：

??? keytool -export -alias jane -file janecertfile.cer

該樣本命令將 jane 的證書導出到文件 janecertfile.cer 中。也就是說，如果 jane 是某個密鑰項的別名，該命令將導出該密鑰倉庫項中所含證書鏈底部的證書。這是認證 jane 的公鑰用的證書。

相反，如果 jane 是某個可信任證書項的別名，則導出的是該可信任的證書。

顯示證書

要打印某個密鑰倉庫項的內容，請用 -list 命令，如下所示：

??? keytool -list -alias joe

如果未指定別名，如下所示：

??? keytool -list

則打印整個密鑰倉庫的內容。

要顯示儲存在文件中的證書的內容，請用 -printcert 命令，如下所示：

??? keytool -printcert -file certfile.cer

這將打印儲存在文件 certfile.cer 中的有關證書的信息。

注意：此操作與密鑰倉庫無關，也就是說，不需要密鑰倉庫即可顯示儲存在文件中的證書。

生成自簽名證書

自簽名證書是一個這樣的證書：其簽發人（簽名人）與主體（證書所認證的公鑰所屬的實體）相同。當調用 -genkey 命令來生成新的公鑰/私鑰對時，它同時也把公鑰打包進自簽名證書中。

有時您也許希望生成新的自簽名證書。例如，您也許想對不同身份（特征名）使用相同的密鑰對。例如，假設您換了個部門。此時您可以：

?
1. 復制原始的密鑰項。請參見 -keyclone。
2. 用新特征名為該復制項生成新的自簽名證書。參見下文。
3. 為該復制項生成證書簽名請求，并導入答復證書或證書鏈。參見 -certreq 和 -import 命令。
4. 刪除原始（現在已過時）項。參見 -delete 命令。

要生成自簽名證書，請用 -selfcert 命令，如下所示：

??? keytool -selfcert -alias dukeNew -keypass b92kqmp
????? -dname "cn=Duke Smith, ou=Purchasing, o=BlueSoft, c=US"

所生成的證書作為指定別名（本例中為“dukeNew”）所標識的密鑰倉庫項中的單元素證書來存儲，它將取代現有的證書鏈。

命令和選項注意事項

下面列出各種命令及其選項，并對它們進行描述。注意：

?
• 所有的命令和選項名之前都有減號 (-) 。
• 每個命令的選項都可按任意順序提供。
• 所有非斜體項或不在花括號和方括號內的項都不能改動。
• 選項周圍的花括號通常表示如果在命令行中沒有指定該選項，則使用缺省值。花括號還用在 -v、-rfc 和 -J 選項周圍，這些選項只有在命令行中出現時才有意義（也就是說，它們沒有任何缺省值，不然就是不存在該選項）。
• 選項周圍的方括號表示如果在命令行中沒有指定該選項，則用戶將得到要求輸入其值的提示。（對于 -keypass 選項，如果在命令行中沒有指定該選項，keytool 將先是嘗試用密鑰倉庫口令來訪問私鑰，如果失敗，再提示您輸入私鑰口令。）
• 斜體項（選項）代表必須提供實際值。例如，下面是 -printcert 命令的格式：

  ? keytool -printcert {-file cert_file} {-v}

  當指定 -printcert 命令時，請用實際文件名來替代 cert_file，如下所示：

  ? keytool -printcert -file VScert.cer

• 如果選項值含有空白（空格），必須用引號把它們括起來。
• -help 命令是缺省命令。因此，命令行

  ? keytool

  等價于

  ? keytool -help

選項缺省值

下面是各選項的缺省值。

-alias "mykey"

-keyalg "DSA"

-keysize 1024

-validity 90

-keystore 用戶宿主目錄中名為 .keystore 的文件

-file 讀時為標準輸入，寫時為標準輸出

簽名算法（-sigalg 選項）是由所涉及私鑰的算法推導而來的：如果所涉及的私鑰是“DSA”類型，則 -sigalg 選項將缺省為“帶 DSA 的 SHA1”，如果所涉及的私鑰是“RSA”類型，則 -sigalg 選項將缺省為“帶 RSA 的 MD5”。

出現在大多數命令中的選項

-v 選項可出現在除 -help 之外的所有命令中。如果出現該選項，表示處在“長格式”模式下；將輸出詳細的證書信息。

-Jjavaoption 選項也可在任何命令中出現。如果出現該選項，則所指定的 javaoption 字符串將被直接傳給 Java 解釋器。（keytool 實際上是解釋器周圍的一個 “wrapper”。） 該選項不應含有任何空格。它有助于調整執行環境或內存使用。要獲得可用的解釋器選項的清單，可在命令行鍵入 java -h 或 java -X。

有三個選項可出現在用于操作密鑰倉庫的所有命令中：

?

-storetype storetype

此限定符指定將被實例化的密鑰倉庫類型。缺省的密鑰倉庫類型是安全屬性文件中“keystore.type”屬性值所指定的那個類型，由 java.security.KeyStore 中的靜態方法 getDefaultType 返回。

-keystore keystore

密鑰倉庫（數據庫文件）的位置。缺省情況下，密鑰倉庫指的是用戶宿主目錄的 .keystore 文件，它是由“user.home”的系統屬性確定的。在 Solaris 系統中，“user.home”缺省為用戶宿主目錄。

-storepass storepass

口令，用來保護密鑰倉庫的完整性。

storepass 的長度必須至少為 6 個字符。所有訪問密鑰倉庫內容的命令都必須提供這一選項。對于這些命令，如果沒有給出 -storepass 選項，則用戶將得到要求輸入該選項的提示。

當從密鑰倉庫中檢索信息時，口令屬于可選項；如果未給出口令，就不能檢查所檢索信息的完整性，而且將出現警告。

使用口令時必須小心 - 參見與口令有關的警告。

與口令有關的警告

大多數對密鑰倉庫操作的命令都要求倉庫口令。一些命令要求私鑰口令。

口令可以在命令行上（分別在 -storepass 和 -keypass 選項上）指定。但是，除非是作為測試目的或是在一個安全的系統上，否則不應在命令行或腳本中指定口令。

如果沒有在命令行上指定所要求的口令選項，您將會得到要求輸入口令的提示。當在口令提示符下鍵入口令時，口令將被即時地顯示出來（鍵入什么就顯示什么），因此，要小心，不要當著任何人的面鍵口令。

命令

另請參閱命令和選項注釋。

向密鑰倉庫添加數據

-genkey {-alias alias} {-keyalg keyalg} {-keysize keysize} {-sigalg sigalg} [-dname dname] [-keypass keypass] {-validity valDays} {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}

產生密鑰對（公鑰和與之關聯的私鑰）。將公鑰打包進 X.509 v1 的自簽名證書中，該證書以單元素證書鏈的形式儲存。該證書鏈和私鑰將儲存于 alias 所標識的新密鑰倉庫項中。

keyalg 指定了用于生成密鑰對的算法，而 keysize 指定要生成的每個密鑰的大小。sigalg 指定簽名自簽名證書所用的算法；這一算法必須與 keyalg 兼容。參見支持的算法和密鑰大小。

dname 指定與 alias 關聯的 X.500 特征名，并用作自簽名證書中的 issuer 和 subject 域。如果在命令行中沒有提供特征名，用戶將得到要求輸入該信息的提示。

keypass 是口令，用來保護所生成密鑰對中的私鑰。如果沒有提供口令，用戶將得到要求輸入口令的提示。如果在提示符下按 RETURN 鍵，則密鑰口令將被設置為與密鑰倉庫所用的口令相同。keypass 的長度必須至少為 6 個字符。使用口令時必須小心 - 參見 與口令有關的警告。

valDays 指定證書的有效期。

-import {-alias alias} {-file cert_file} [-keypass keypass] {-noprompt} {-trustcacerts} {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}

從文件 cert_file 中讀取證書或證書鏈（后者在 PKCS#7 格式的答復所給出）并將其儲存在 alias 所標識的密鑰倉庫項中。如果沒有給出文件，則從標準輸入設備中讀取證書或 PKCS#7 答復。keytool 可導入 X.509 v1、v2 和 v3 的證書以及由該類證書所組成的 PKCS#7 格式的證書鏈。要導入的數據必須是二進制編碼格式或 Internet RFC 1421 標準所定義的可打印的編碼格式（也稱 Base64 編碼）。在后一種情況下，編碼必須用以“-----BEGIN”開頭的字符串開始，用以“-----END”結尾的字符串來結束。

當導入新的可信任證書時，密鑰倉庫中還沒有 alias。在把證書添加到密鑰倉庫中之前，keytool 將嘗試用密鑰倉庫中已有的可信任證書來構造從該證書到自簽名證書（屬于根 CA）的信任鏈，以對證書進行校驗。

如果指定了 -trustcacerts 選項，則將為該信任鏈考慮其它證書，即考慮名為“cacerts”的文件中的證書，該文件位于 JDK 安全屬性目錄 java.home\lib\security 中，其中 java.home 為 JDK 安裝目錄。“cacerts”文件代表含有 CA 證書的系統范圍的密鑰倉庫。通過指定密鑰倉庫類型為“jks”，系統管理員可用 keytool 來配置和管理該文件。“cacerts”密鑰倉庫文件發送時附有五個 VeriSign 根 CA 證書，其 X.500 特征名如下：

1. OU=Class 1 Public Primary Certification Authority, O="VeriSign, Inc.",
C=US

2. OU=Class 2 Public Primary Certification Authority, O="VeriSign,
Inc.", C=US

3. OU=Class 3 Public Primary Certification Authority,
O="VeriSign, Inc.", C=US

4. OU=Class 4 Public Primary Certification
Authority, O="VeriSign, Inc.", C=US

5. OU=Secure Server Certification
Authority, O="RSA Data Security, Inc.", C=US

“cacerts”密鑰倉庫文件的初始口令為“changeit” 。系統管理員在安裝 JDK 后，就應該立即更改這個口令以及該文件的缺省訪問權限。

如果 keytool 無法建立從要導入的證書到自簽名證書的信任路徑（利用密鑰倉庫或“cacerts”文件），則打印出該證書的信息，而用戶將得到要求校驗的提示，例如，系統將通知用戶通過比較顯示出的指紋和得自其它（可信任的）信息來源的指紋來進行校驗，信息來源可能是證書擁有者本人。在將證書作為一個“可信任”證書導入之前，要十分小心，務必保證該證書是有效的！ -- 參見有關導入可信任證書的警告。然后，用戶可以選擇中止導入操作。但是，如果給了 -noprompt 選項，則不會有與用戶的交互。

當導入認證答復時，該認證答復將用密鑰倉庫中可信任的證書來確認，有時也使用在“cacerts”密鑰倉庫文件中配置的證書（如果指定了 -trustcacerts 選項）。

如果答復是一個 X.509 證書，keytool 將嘗試建立信任鏈，以該認證答復為頭，以屬于根 CA 的自簽名證書為尾。該認證答復和用于認證該認證答復的證書層次形成了 alias 的新證書鏈。

如果答復是 PKCS#7 格式的證書鏈，則該鏈應首先被排序（用戶證書在最前面，自簽名的根 CA 證書在最后面），然后 keytool 嘗試將答復中的根 CA 證書與密鑰倉庫或“cacerts”密鑰倉庫文件（如果指定了 -trustcacerts 選項）中的任何可信任證書進行匹配。如果找不到匹配，則打印出該根 CA 證書的信息，而用戶將得到要求校驗它的提示，例如，系統將通知用戶通過比較顯示出的指紋和得自其它（可信任的）信息來源的指紋來進行校驗，信息來源可能是證書擁有者本人。因此，用戶可以選擇中止導入操作。但是，如果給了 -noprompt 選項，則不會有與用戶的交互。

alias 的新證書鏈將取代與該項關聯的舊證書鏈。只有提供了有效的 keypass，即提供了用于保護該項的私鑰的口令時，舊鏈才可被取代。如果沒有提供口令，而且私鑰口令與密鑰倉庫口令不同，用戶將得到要求輸入口令的提示。使用口令時必須小心 --? 參見與口令有關的警告。

-selfcert {-alias alias} {-sigalg sigalg} {-dname dname} {-validity valDays} [-keypass keypass] {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}

利用密鑰倉庫信息（包括與 alias 關聯的私鑰和公鑰）產生 X.509 v1 自簽名證書。如果在命令行提供了 dname，它將同時用作該證書的簽發人和主體的 X.500 特征名。否則，將使用與 alias 關聯的 X.500 特征名（位于其現有證書鏈底部）。

所生成的證書作為 alias 所標識的密鑰倉庫項中的單元素證書鏈來存儲，它將取代現有的證書鏈。

sigalg 指定簽名證書用的算法。參見支持的算法和密鑰大小。

要訪問私鑰，必須提供正確的口令，因為私鑰在密鑰倉庫中是受口令保護的。如果在命令行中沒有提供 keypass，且私鑰口令與保護密鑰倉庫完整性所用的口令不同，則用戶將得到要求輸入該口令的提示。使用口令時必須小心 -- 參見與口令有關的警告。

valDays 指定證書的有效期。

-identitydb {-file idb_file} {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}

從 idb_file 文件中讀取 JDK 1.1.x 格式的身份數據庫，并將它的項加到密鑰倉庫中。如果沒有給出文件名，則從標準輸入設備中讀取身份數據庫。如果不存在密鑰倉庫，則創建它。

只有被標記為可信任的身份數據庫項（“身份”）才能被導入密鑰倉庫中。所有其它身份都將被略去。對每個可信任的身份，將創建一個密鑰倉庫項。身份名用作該密鑰倉庫項的“別名”。

所有可信任身份的私鑰都將在相同的口令 storepass 下得到加密。該口令與保護密鑰倉庫完整性所用的口令相同。用戶隨后可用 keytool 命令選項“-keypasswd”來對各私鑰賦予單獨的口令。

身份數據庫中的一個身份可以存放多個證書，各證書所認證的都是同一公鑰。但一個私鑰的密鑰倉庫密鑰項含有該私鑰和單一的“證書鏈”（該鏈最初只有一個證書），鏈中的第一個證書含有與該私鑰對應的公鑰。當從身份導入信息時，只有該身份中的第一個證書被儲存到密鑰倉庫中。這是因為身份數據庫中的身份名被用作其相應密鑰倉庫項的別名，而別名在密鑰倉庫中是唯一的。

導出數據

-certreq {-alias alias} {-sigalg sigalg} {-file certreq_file} [-keypass keypass] {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}

生成 PKCS#10 格式的證書簽名請求 (CSR)。

CSR 用來發送給認證機構 (CA)。CA 對認證請求者進行認證（通常是離線的），并返回證書或證書鏈，以取代密鑰倉庫中現有的證書鏈（該證書鏈最初只含有自簽名證書）。

私鑰和與 alias 關聯的 X.500 特征名用于創建 PKCS#10 證書請求。要訪問私鑰，必須提供正確的口令，因為私鑰在庫中是受口令保護的。如果在命令行沒有提供 keypass，且私鑰口令與保護密鑰倉庫完整性所用的口令不同，則用戶將得到要求輸入口令的提示。

使用口令時必須小心 -- 參見與口令有關的警告。

sigalg 指定簽名 CSR 時用的算法。參見支持的算法和密鑰大小。

CSR 存儲在文件 certreq_file 中。如果沒有給出文件名，CSR 將被輸出到標準輸出設備中。

用 import 命令來導入 CA 所返回的答復。

-export {-alias alias} {-file cert_file} {-storetype storetype} {-keystore keystore} [-storepass storepass] {-rfc} {-v} {-Jjavaoption}

從密鑰倉庫中讀取與 alias 關聯的證書，并將其儲存在文件 cert_file 中。

如果沒有給出文件名，證書將被輸出到標準輸出設備中。

缺省情況下，證書被輸出為二進制編碼格式，但如果指定了 -rfc 選項，則將被輸出為 Internet RFC 1421 標準中定義的可打印格式。

如果 alias 引用的是可信任證書，則該證書將被輸出。否則，alias 引用的是含有相關證書鏈的密鑰項。在這種情況下，鏈中的第一個證書將被返回。該證書對由 alias 所指定的實體的公鑰進行認證。

顯示數據

-list {-alias alias} {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v | -rfc} {-Jjavaoption}

打印（到標準輸出設備中）alias 所標識的密鑰倉庫項的內容。如果沒有指定別名，則將打印整個密鑰倉庫的內容。

缺省情況下，該命令打印證書的 MD5 指紋。如果指定了 -v 選項，證書將以可讀格式打印，同時包含擁有者、簽發人和序列號等附加信息。如果指定了?-rfc 選項，證書將以 Internet RFC 1421 標準所定義的可打印的編碼格式打印。

不能同時指定 -v 和 -rfc 兩個選項。

-printcert {-file cert_file} {-v} {-Jjavaoption}

從文件 cert_file 中讀取證書將以可讀格式打印其內容。如果沒有給出文件名，則從標準輸入設備中讀取證書。

證書可以是用二進制編碼或 Internet RFC 1421 標準所定義的可打印編碼格式。

注意：該選項的使用與密鑰倉庫無關。

管理密鑰倉庫

-keyclone {-alias alias} [-dest dest_alias] [-keypass keypass] [-new new_keypass] {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}

生成新的密鑰倉庫項，該項含有的私鑰和證書鏈與原始項的相同。

原始項由 alias （如果沒有提供別名，則其值缺省為“mykey”）標識。新（目標）項由 dest_alias 標識。如果沒有在命令行中提供目標別名，用戶將得到要求輸入該信息的提示。

如果私鑰口令與密鑰倉庫口令不同，那么，只有提供了有效的 keypass 時該項才能被復制。keypass 是用于保護與 alias 關聯的私鑰的口令。如果沒有在命令行提供密鑰口令，且私鑰口令與密鑰倉庫口令不同，用戶將得到要求輸入口令的提示。如果愿意，可用不同的口令來保護復制項中的私鑰。如果沒有在命令行提供 -new 選項，用戶將得到提示要求輸入新項的口令（可以選擇讓該口令與被復制項的私鑰所用的口令相同）。

使用口令時必須小心 -- 參見與口令有關的警告。

該命令可用于建立多個與給定密鑰對相對應的證書鏈，或用于備份。

-storepasswd [-new new_storepass] {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}

更改保護密鑰倉庫內容的完整性所用的口令。新口令為 new_storepass，其長度必須至少是 6 個字符。

使用口令時必須小心 -- 參見與口令有關的警告。

-keypasswd {-alias alias} [-keypass old_keypass] [-new new_keypass] {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}

把保護 alias 所標識的私鑰的口令從 old_keypass 更改為 new_keypass。

如果沒有在命令行提供 keypass 選項，且私鑰口令與密鑰倉庫口令不同，則用戶將得到要求輸入該口令的提示。

如果沒有在命令行給出 -new 選項，則用戶將得到要求輸入新口令的提示。

使用口令時必須小心 -- 參見與口令有關的警告。

-delete [-alias alias] {-storetype storetype} {-keystore keystore} [-storepass storepass] {-v} {-Jjavaoption}

從密鑰倉庫中刪除 alias 所標識的項。如果沒有在命令行上提供別名，則用戶將得到要求輸入別名的提示。

獲取幫助

-help

列出所有的命令及其選項。

示例

假設您要創建一個密鑰倉庫以管理您的公鑰/私鑰對來自您所信任實體的證書。

生成密鑰對

您首先要做的是創建一個密鑰倉庫和生成密鑰對。您可以使用以下命令：

??? keytool -genkey -dname "cn=Mark Jones, ou=JavaSoft, o=Sun, c=US"
????? -alias business -keypass kpi135 -keystore /working/mykeystore
????? -storepass ab987c -validity 180

（請注意：鍵入該命令時必須使其成為一行。此處用多行來顯示，主要是為了可讀性。）

該命令將在 C 盤的“working”目錄（假設它還不存在）中創建名為“mykeystore”的密鑰倉庫，并賦予它口令“ab987c”。它將為實體生成公鑰/私鑰對，該實體的“特征名”為：常用名“Mark Jones”、組織單位“JavaSoft”、組織“Sun”和兩個字母的國家代碼“US”。它使用缺省的“DSA”密鑰生成算法來創建密鑰，兩個密鑰（公鑰與私鑰）的長度都是 1024 位。

它創建自簽名證書（使用缺省的“帶 DSA 的 SHA1”簽名算法），該證書包括公鑰和特征名信息。該證書的有效期為 180 天，且與別名“business”所代表的密鑰倉庫項關聯。私鑰被賦予口令“kpi135”。

如果采用選項的缺省值，可以大大縮短該命令。實際上，這些選項并不是必需的；對于有缺省值的選項，未指定時將使用缺省值，對于任何被要求的值，您將會得到要求輸入它的提示。因此，您可以只使用下面的命令：

??? keytool -genkey

這種情況下，將創建一個具有別名“mykey”的密鑰倉庫項，它含有新生成的密鑰對和有效期為 90 天的證書。該項被放在您的宿主目錄下一個名為“.keystore”的密鑰倉庫中（如果該密鑰倉庫并不存在，則將創建它）。您將得到要求輸入特征名信息、密鑰倉庫口令和私鑰口令的提示。

其余示例假設您執行了未指定選項的 -genkey 命令，且用上述第一個 -genkey 命令中給出的值來回答提示要求（私鑰口令為“kpi135”等等）。

從認證機構請求已簽名的證書

目前為止我們所具有的就是自簽名證書。證書如果由認證機構 (CA) 簽名，將更有可能得到別人的信任。要得到這樣的簽名，首先要用以下命令生成證書簽名請求 (CSR)：

??? keytool -certreq -file MarkJ.csr

這將為缺省別名“mykey”所標識的實體生成 CSR，并將此請求放在名為“MarkJ.csr”的文件中。將此文件提交給某個 CA（例如 VeriSign, Inc.）。該 CA 將對您這個請求者進行認證（通常是離線的），然后返回它們所簽名的證書，用于認證您的公鑰。（某些情況下，它們實際上將返回證書鏈，鏈中每個證書都認證前一個證書的簽名人的公鑰。）

導入 CA 的證書

自簽名證書必須用證書鏈代替，鏈中的每個證書都認證前一個證書的簽名人的公鑰，直到“根”CA 為止。

在導入 CA 的答復之前，在您的密鑰倉庫中或 cacerts 密鑰倉庫文件（如導入命令中所述）中需要有一個或多個“可信任”證書：

?
• 如果該認證答復是個證書鏈，您只需要鏈中最頂部的證書（即用于認證根 CA 的公鑰的“根” CA 證書）。
• 如果該認證答復是單個證書，您需要發放 CA（即簽名該證書的認證機構）的證書，如果此證書不是自簽名的，則需其簽名人的證書，以此類推，直到自簽名的“根” CA 證書為止。

“cacerts”密鑰倉庫文件發送時附有五個 VeriSign 根 CA 證書，因此您可能并不需要導入 VeriSign 證書以作為密鑰倉庫中的可信任證書。但如果您請求由另一個 CA 簽名的證書，而認證該 CA 的公鑰的證書未被加到“cacerts”中，則您需要將來自該 CA 的證書作為“可信任證書”導入。

來自 CA 的證書通常是自簽名的或是由另一個 CA 簽名的（這種情況下您還需要認證該 CA 的公鑰的證書）。假設 ABC, Inc. 公司是 CA，而您從該公司獲得一個聲稱是自簽名證書的名為“ABCCA.cer”的文件，它用于認證該 CA 的公鑰。

在將證書作為一個“可信任”證書導入之前，要十分小心，務必保證該證書是有效的！先查看一下（用 keytool-printcert 命令，或用不帶 -noprompt 選項的 keytool-import 命令）以確保所顯示的證書指紋與所預計的相匹配。然后可以給發送證書的人打電話，將您所看到的指紋與他們所提供的（或安全公鑰儲存庫所顯示的）進行比較。只有兩者相等才可保證證書在傳送途中沒有被其它人（例如，攻擊者）的證書所更換。如果發生了這樣的攻擊，而您未檢查證書即將其導入，那么您就會信任攻擊者所簽名的任何東西。

如果您相信證書是有效的，則您可以用以下命令將其加到密鑰倉庫中：

??? keytool -import -alias abc -file ABCCA.cer

這將在密鑰倉庫中用文件“ABCCA.cer”中的數據創建“可信任證書”項，并將別名“abc”賦予該項。

導入來自 CA 的認證答復

一旦導入了用于認證 CA（該 CA 是您將證書簽名請求送往之處）公鑰的證書后，或在“cacerts”文件中已有這種證書時，就可以導入該認證答復，從而用證書鏈取代您的自簽名證書。如果 CA 的答復是證書鏈，則該鏈是 CA 響應您的請求而返回的證書鏈；如果 CA 的答復是一個證書，則該鏈是用認證答復和可信任證書建立的證書鏈，這些可信任證書是密鑰倉庫（您要將認證答復導入之處）或“cacerts”密鑰倉庫文件中已有的。

例如，假設您將證書簽名請求送往 VeriSign。您可用以下命令來導入認證答復，該命令假定所返回的證書名為“VSMarkJ.cer”：

??? keytool -import -trustcacerts -file VSMarkJ.cer

導出用于認證您的公鑰的證書

假設您用 jarsigner 工具來簽名 Java 歸檔 (JAR) 文件。需要使用這一文件的客戶機將認證您的簽名。

認證簽名的一種方法是先將您的公鑰證書作為“可信任”項導入它們的密鑰倉庫中。您可以將證書導出并將其提供給客戶機。例如，假設項的別名為“mykey”，您可以用以下命令將您的證書導出到名為 MJ.cer 的文件中：

??? keytool -export -alias mykey -file MJ.cer

有了該證書以及已被簽名的 JAR 文件，客戶機就可以用 jarsigner 工具來認證您的簽名。

更改特征名但保留密鑰對

假設，譬如說因為您換了部門或搬到另一個城市去了而改變了您的特征名。如果愿意，您仍然可以使用您先前使用的公鑰/私鑰對而只對特征名進行更新。例如，假設您的名字叫 Susan Miller，并用別名 sMiller 和以下的特征名創建了初始密鑰項：

? "cn=Susan Miller, ou=Finance Department, o=BlueSoft, c=us"

假設您從財務部門換到了會計部門。您仍然可使用先前所生成的公鑰/私鑰對，而用以下方法對特征名進行更新。首先，復制您的密鑰項：

??? keytool -keyclone -alias sMiller -dest sMillerNew

（您將得到要求輸入密鑰倉庫口令和初始密鑰口令及目標密鑰口令的提示，因為在命令行沒有提供這些信息。）現在，您需要更改與復制項關聯的證書鏈以使鏈中的第一個證書使用您的新特征名。先用相應名稱生成自簽名證書：

??? keytool -selfcert -alias sMillerNew
????? -dname "cn=Susan Miller, ou=Accounting Department, o=BlueSoft, c=us"

然后根據該新證書中的信息生成證書簽名請求：

??? keytool -certreq -alias sMillerNew

當您得到 CA 認證答復后，將其導入：

??? keytool -import -alias sMillerNew -file VSSMillerNew.cer

導入認證答復后，您也許會要刪除使用舊特征名的初始密鑰項：

??? keytool -delete -alias sMiller