Keytool 是安全钥匙与证书的管理工具它管理一个存储了私有钥匙和验证相应公共钥匙的与它们相关联的X 证书链的keystore(相当一个数据库)
Keytool 是一个有效的安全钥匙和证书的管理工具 它能够使用户使用数字签名来管理他们自己的私有/公共钥匙对管理用来作自我鑒定的相关的证书管理数据完整性和鑒定服务它还能使用户在通信时缓存它们的公共钥匙
一个证书是某一实体(个人公司等)的数字签名指出其他实体的公共钥匙(或其他信息)的详细的值当数据被签名后这个签名信息被用来检验数据的完整性和真实性完整性指数据没有被修改和篡改真实性指数据从任何产生和签名的一方真正的传输到达
Keytool 把钥匙和证书储存到一个keystore默任的实现keystore的是一个文件它用一个密码保护钥匙
而另外的一个工具jarsigner用keystore中的信息产生或检验Java aRchive(jar文件)中的数字签名
Keystore有两个不同的入口:
钥匙入口:保存了非常敏感的加密的钥匙信息并且是用一个保护的格式存储以防止未被授权的访问以这种形式存储的钥匙是秘密钥匙或是一个对应证书链中公有钥匙的私有钥匙
信任证书入口:包含一个属于其他部分的单一公共钥匙证书它之所以被称为信任证书是因为keystore信任的证书中的公共钥匙真正属于证书所有者的身份识别
Keystore的别名:
所有的keystore入口(钥匙和信任证书入口)是通过唯一的别名访问别名是 不区分大小写的如别名Hugo和hugo指向同一个keystore入口
可以在加一个入口到keystore的时候使用genkey参数来产生一个钥匙对(公共钥匙和私有钥匙)时指定别名也可以用import参数加一个证书或证书链到信任证书
如:
keytool genkey alias duke keypass dukekeypasswd
其中duke为别名dukekeypasswd为duke别名的密码这行命令的作用是产生一个新的公共/私有钥匙对
假如你想修改密码可以用:
keytool keypasswd alias duke keypass dukekeypasswd new newpass
将旧密码dukekeypasswd改为newpass
Keystore的产生:
当使用genkey 或import或identitydb命令添加数据到一个keystore而当这个keystore不存在时产生一个keystore默认名是keystore存放到userhome目录
当用keystore指定时将产生指定的keystore
Keystore的实现:
Keytool 类位于javasecurity包下提供一个非常好的接口去取得和修改一个keystore中的信息 目前有两个命令行:keytool和jarsinger一个GUI工具Policy 可以实现keystore由于keystore是公开的用户可以用它写一些额外的安全应用程序
Keystore还有一个sun公司提供的内在实现它把keystore作为一个文件来实现利用了一个keystore类型(格式)JKS它用单独的密码保护每一个私有钥匙也用可能不同的密码保护整个keystore的完整性
支持的算法和钥匙大小:
keytool允许用户指定钥匙对和注册密码服务供应者所提供的签名算法缺省的钥匙对产生算法是DSA假如私有钥匙是DSA类型缺省签名算法是SHAwithDSA假如私有钥匙是RSA类型缺省算法是MDwithRSA
当产生一个DSA钥匙对钥匙必须在位之间对任何算法的缺省钥匙大小是位
证书:
一个证书是一个实体的数字签名指出其他实体的公共钥匙有明确的值
公共钥匙 :是同一个详细的实体的数字关联并有意让所有想同这个实体发生信任关系的其他实体知道公共钥匙用来检验签名;
数字签名:假如数据已被签名并用身份存储在一个实体中一个签名能够证明这个实体知道这个数据这个数据用实体私有钥匙签名并递交;
身份:知道实体的方法在一些系统中身份是公共钥匙其他系统中可以是从一个X名字的邮件地址的Unix UID来的任何东西;
签名:一个签名用用实体私有钥匙来计算某些加密数据;
私有钥匙:是一些数字每一个私有钥匙只能被特定的拥有该私有钥匙的实体知道私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中一个公共钥匙加密(如DSA)一个私有钥匙与一个正确的公共钥匙通信私有钥匙用来计算签名
实体:一个实体可以是一个人一个组织一个程序一台计算机一个商业一个银行或其他你想信任的东西
Keytool应用实例:
产生一个keystore:
keytool genkey alias User(keystore的别名) keyalg RSA validity keystore keystore(指定keystore)
运行这个命令系统提示:
Enter keystore password:yourpassword(输入密码)
What is your first and last name?
[Unknown]: your name(输入你的名字)
What is the name of your organizational unit?
[Unknown]:your organizational(输入你所在组织单位的名字)
What is the name of your organization?
[Unknown]:your organization name (输入你所在组织的名字)
What is the name of your City or Locality?
[Unknown]:your city name(输入所在城市的名字)
What is the name of your State or Province?
[Unknown]:your provice name(输入所在省份名字)
What is the twoletter country code for this unit?
[Unknown]:cn(输入国家名字)
Is CN=your name OU=your organizaion O=your organization name
L=your city name ST=your province name C=cn correct?
[no]: yes
检查一个keystore:
keytool list v keystore keystore
Enter keystore password:your password(输入密码)
将显示keystore内容如:
Keystore type: jks
Keystore provider: SUN
Your keystore contains entry
Alias name: yourname
Creation date: Dec
Entry type: keyEntry
Certificate chain length:
Certificate[]:
Owner: CN=yourname OU=your organization O=your organization name
L=your city name ST=your province name C=CN
Issuer: CN=Duke OU=Java Software O=Sun Microsystems Inc L=Palo Alto ST=CA C=US
Serial number: cadc
Valid from: Thu Dec :: PST until: Thu Dec :: PST
Certificate fingerprints:
MD: F:B:B:A:F::CF::CF:F:FF::F:C:C:F
SHA: B:::DD:B:CC:::::F::AA:AF:A:D:E::C:
输出keystore到一个文件:testkey:
keytool export alias duke keystore keystore rfc file testkey
系统输出:
Enter keystore password:your password(输入密码)
Certificate stored in file
输入证书到一个新的truststore:
keytool import alias dukecert file testkey keystore truststore
Enter keystore password:your new password(输入truststore新密码)
检查truststore:
keytool list v keystore truststore
系统将显示truststore的信息
现在可以用适当的keystore运行你的应用程序如:
java sslkeyStore=keystore sslkeyStorePassword=password Server
和: java ssltrustStore=truststore
ssltrustStorePassword=trustword Client
