Java
自帶的
keytool
工具
是個密鑰和證書管理工具�����。它使用戶能夠管理自己的公鑰
/
私鑰對及相關證書,用于(通過數字簽名)自我認證(用戶向別的用戶
/
服務認證自己)或數據完整性以及認證服務��。它還允許用戶儲存他們的通信對等者的公鑰(以證書形式)�����。
keytool
將密鑰和證書儲存在一個所謂的
密鑰倉庫(
keystore
)
中���。缺省的密鑰倉庫實現將密鑰倉庫實現為一個文件���。它用口令來保護私鑰�����。
Java KeyStore
的類型
JKS
和
JCEKS
是
Java
密鑰庫
(KeyStore)
的兩種比較常見類型
(
我所知道的共有
5
種,
JKS, JCEKS, PKCS12, BKS
��,
UBER)
�����。
JKS
的
Provider
是
SUN
,在每個版本的
JDK
中都有,
JCEKS
的
Provider
是
SUNJCE
��,
1.4
后我們都能夠直接使用它�����。
JCEKS
在安全級別上要比
JKS
強��,使用的
Provider
是
JCEKS(
推薦
)
,尤其在保護
KeyStore
中的私鑰上(使用
TripleDes
)。
PKCS#12
是公鑰加密標準�����,它規定了可包含所有私鑰���、公鑰和證書�����。其以二進制格式存儲���,也稱為
PFX
文件���,在
windows
中可以直接導入到密鑰區�����,注意,
PKCS#12
的密鑰庫保護密碼同時也用于保護
Key
���。
BKS
來自
BouncyCastle Provider
,它使用的也是
TripleDES
來保護密鑰庫中的
Key
,它能夠防止證書庫被不小心修改(
Keystore
的
keyentry
改掉
1
個
bit
都會產生錯誤)�����,
BKS
能夠跟
JKS
互操作�����,讀者可以用
Keytool
去
TryTry
��。
UBER
比較特別,當密碼是通過命令行提供的時候,它只能跟
keytool
交互�����。整個
keystore
是通過
PBE/SHA1/Twofish
加密��,因此
keystore
能夠防止被誤改���、察看以及校驗���。以前���,
Sun JDK(
提供者為
SUN)
允許你在不提供密碼的情況下直接加載一個
Keystore
��,類似
cacerts
,
UBER
不允許這種情況��。
?
證書導入
Der/Cer證書導入:
要從某個文件中導入某個證書���,使用keytool工具的-import命令:
keytool -import -file mycert.der -keystore mykeystore.jks
如果在 -keystore選項中指定了一個并不存在的密鑰倉庫��,則該密鑰倉庫將被創建。
如果不指定 -keystore選項���,則缺省密鑰倉庫將是宿主目錄中名為 .keystore的文件。如果該文件并不存在�����,則它將被創建��。
創建密鑰倉庫時會要求輸入訪問口令��,以后需要使用此口令來訪問?�?墒褂?/span>-list命令來查看密鑰倉庫里的內容:
keytool -list -rfc -keystore mykeystore.jks
P12格式證書導入:
keytool無法直接導入PKCS12文件�����。
第一種方法是使用IE將pfx證書導入�����,再導出為cert格式文件。使用上面介紹的方法將其導入到密鑰倉庫中�����。這樣的話倉庫里面只包含了證書信息���,沒有私鑰內容���。
第二種方法是將pfx文件導入到IE瀏覽器中��,再導出為pfx文件�����。
?????? 新生成的pfx不能被導入到keystore中,報錯:keytool錯誤: java.lang.Exception: 所輸入的不是一個 X.509 認證���。新生成的pfx文件可以被當作keystore使用。但會報個錯誤as unknown attr1.3.6.1.4.1.311.17.1,查了下資料,說IE導出的就會這樣,使用Netscape就不會有這個錯誤.
第三種方法是將pfx文件當作一個keystore使用�����。但是通過微軟的證書管理控制臺生成的pfx文件不能直接使用�����。keytool不認此格式���,報keytool錯誤: java.io.IOException: failed to decrypt safe contents entry��。需要通過OpenSSL轉換一下:
1)openssl pkcs12 -in mycerts.pfx -out mycerts.pem
2)openssl pkcs12 -export -in mycerts.pem -out mykeystore.p12
通過keytool的-list命令可檢查下密鑰倉庫中的內容:
keytool -rfc -list -keystore mykeystore.p12 -storetype pkcs12
這里需要指明倉庫類型為pkcs12,因為缺省的類型為jks���。這樣此密鑰倉庫就即包含證書信息也包含私鑰信息。
P7B格式證書導入:
keytool無法直接導入p7b文件�����。
需要將證書鏈RootServer.p7b(包含根證書)導出為根rootca.cer和子rootcaserver.cer ���。
將這兩個證書導入到可信任的密鑰倉庫中��。
keytool -import -alias rootca -trustcacerts -file rootca.cer -keystore testkeytrust.jks
遇到是否信任該證書提示時��,輸入y
keytool -import -alias rootcaserver -trustcacerts -file rootcaserver.cer -keystore testkeytrust.jks
總結:
1)P12格式的證書是不能使用keytool工具導入到keystore中的
2)The Sun's PKCS12 Keystore對從IE和其他的windows程序生成的pfx格式的證書支持不太好.
3)P7B證書鏈不能直接導入到keystore,需要將里面的證書導出成cer格式�����,再分別導入到keystore��。
http://blog.csdn.net/peterwanghao/article/details/1761728