Java 中的 keytool.exe （位于 JDK\Bin 目錄下）可以用來創(chuàng)建數(shù)字證書，所有的數(shù)字證書是以一條一條(采用別名區(qū)別)的形式存入證書庫的中，證書庫中的一條證書包含該條證書的私鑰，公鑰和對應(yīng)的數(shù)字證書的信息。證書庫中的一條證書可以導(dǎo)出數(shù)字證書文件，數(shù)字證書文件只包括主體信息和對應(yīng)的公鑰。
1.證書的顯示

-list

[-v | -rfc] [-alias <alias>]
[-keystore <keystore>] [-storepass <storepass>]
[-storetype <storetype>] [-provider <provider_class_name>]

例如：keytool -list -v -alias RapaServer -keystore cacerts -storepass?12345678

keytool -list -v -keystore d2aapplet.keystore -storepass 12345678 -storetype IAIKKeystore

2.將證書導(dǎo)出到證書文件

例如：keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer

將把證書庫 monitor.keystore 中的別名為 monitor 的證書導(dǎo)出到 monitor.cer 證書文件中，它包含證書主體的信息及證書的公鑰，不包括私鑰，可以公開。

keytool -export -keystore d2aApplet.keystore -alias RapaServer -file Rapa.cert -storetype IAIKKeystore

3.將keystore導(dǎo)入證書中

這里向Java默認的證書 cacerts導(dǎo)入Rapa.cert

keytool -import -alias RapaServer -keystore cacerts -file Rapa.cert -keystore cacerts

4.證書條目的刪除
keytool的命令行參數(shù) -delete 可以刪除密鑰庫中的條目，如： keytool -delete -alias RapaServer -keystore d2aApplet.keystore ，這條命令將 d2aApplet.keystore 中的 RapaServer 這一條證書刪除了。
5.證書條目口令的修改

使用 -keypasswd 參數(shù)，如：keytool -keypasswd -alias RapaServer -keystore d2aApplet.keystore，可以以交互的方式修改 d2aApplet.keystore證書庫中的條目為 RapaServer 的證書。

Keytool -keypasswd -alias RapaServer -keypass 654321 -new 123456 -storepass 888888 -keystore d2aApplet.keystore這一行命令以非交互式的方式修改庫中別名為 RapaServer 的證書的密碼為新密碼 654321，行中的 123456 是指該條證書的原密碼， 888888 是指證書庫的密碼。