Java
自帶的
keytool
工具
是個(gè)密鑰和證書(shū)管理工具。它使用戶能夠管理自己的公鑰
/
私鑰對(duì)及相關(guān)證書(shū),用于(通過(guò)數(shù)字簽名)自我認(rèn)證(用戶向別的用戶
/
服務(wù)認(rèn)證自己)或數(shù)據(jù)完整性以及認(rèn)證服務(wù)。它還允許用戶儲(chǔ)存他們的通信對(duì)等者的公鑰(以證書(shū)形式)。
keytool
將密鑰和證書(shū)儲(chǔ)存在一個(gè)所謂的
密鑰倉(cāng)庫(kù)(
keystore
)
中。缺省的密鑰倉(cāng)庫(kù)實(shí)現(xiàn)將密鑰倉(cāng)庫(kù)實(shí)現(xiàn)為一個(gè)文件。它用口令來(lái)保護(hù)私鑰。
Java KeyStore
的類型
JKS
和
JCEKS
是
Java
密鑰庫(kù)
(KeyStore)
的兩種比較常見(jiàn)類型
(
我所知道的共有
5
種,
JKS, JCEKS, PKCS12, BKS
,
UBER)
。
JKS
的
Provider
是
SUN
,在每個(gè)版本的
JDK
中都有,
JCEKS
的
Provider
是
SUNJCE
,
1.4
后我們都能夠直接使用它。
JCEKS
在安全級(jí)別上要比
JKS
強(qiáng),使用的
Provider
是
JCEKS(
推薦
)
,尤其在保護(hù)
KeyStore
中的私鑰上(使用
TripleDes
)。
PKCS#12
是公鑰加密標(biāo)準(zhǔn),它規(guī)定了可包含所有私鑰、公鑰和證書(shū)。其以二進(jìn)制格式存儲(chǔ),也稱為
PFX
文件,在
windows
中可以直接導(dǎo)入到密鑰區(qū),注意,
PKCS#12
的密鑰庫(kù)保護(hù)密碼同時(shí)也用于保護(hù)
Key
。
BKS
來(lái)自
BouncyCastle Provider
,它使用的也是
TripleDES
來(lái)保護(hù)密鑰庫(kù)中的
Key
,它能夠防止證書(shū)庫(kù)被不小心修改(
Keystore
的
keyentry
改掉
1
個(gè)
bit
都會(huì)產(chǎn)生錯(cuò)誤),
BKS
能夠跟
JKS
互操作,讀者可以用
Keytool
去
TryTry
。
UBER
比較特別,當(dāng)密碼是通過(guò)命令行提供的時(shí)候,它只能跟
keytool
交互。整個(gè)
keystore
是通過(guò)
PBE/SHA1/Twofish
加密,因此
keystore
能夠防止被誤改、察看以及校驗(yàn)。以前,
Sun JDK(
提供者為
SUN)
允許你在不提供密碼的情況下直接加載一個(gè)
Keystore
,類似
cacerts
,
UBER
不允許這種情況。
?
證書(shū)導(dǎo)入
Der/Cer證書(shū)導(dǎo)入:
要從某個(gè)文件中導(dǎo)入某個(gè)證書(shū),使用keytool工具的-import命令:
keytool -import -file mycert.der -keystore mykeystore.jks
如果在 -keystore選項(xiàng)中指定了一個(gè)并不存在的密鑰倉(cāng)庫(kù),則該密鑰倉(cāng)庫(kù)將被創(chuàng)建。
如果不指定 -keystore選項(xiàng),則缺省密鑰倉(cāng)庫(kù)將是宿主目錄中名為 .keystore的文件。如果該文件并不存在,則它將被創(chuàng)建。
創(chuàng)建密鑰倉(cāng)庫(kù)時(shí)會(huì)要求輸入訪問(wèn)口令,以后需要使用此口令來(lái)訪問(wèn)。可使用-list命令來(lái)查看密鑰倉(cāng)庫(kù)里的內(nèi)容:
keytool -list -rfc -keystore mykeystore.jks
P12格式證書(shū)導(dǎo)入:
keytool無(wú)法直接導(dǎo)入PKCS12文件。
第一種方法是使用IE將pfx證書(shū)導(dǎo)入,再導(dǎo)出為cert格式文件。使用上面介紹的方法將其導(dǎo)入到密鑰倉(cāng)庫(kù)中。這樣的話倉(cāng)庫(kù)里面只包含了證書(shū)信息,沒(méi)有私鑰內(nèi)容。
第二種方法是將pfx文件導(dǎo)入到IE瀏覽器中,再導(dǎo)出為pfx文件。
?????? 新生成的pfx不能被導(dǎo)入到keystore中,報(bào)錯(cuò):keytool錯(cuò)誤: java.lang.Exception: 所輸入的不是一個(gè) X.509 認(rèn)證。新生成的pfx文件可以被當(dāng)作keystore使用。但會(huì)報(bào)個(gè)錯(cuò)誤as unknown attr1.3.6.1.4.1.311.17.1,查了下資料,說(shuō)IE導(dǎo)出的就會(huì)這樣,使用Netscape就不會(huì)有這個(gè)錯(cuò)誤.
第三種方法是將pfx文件當(dāng)作一個(gè)keystore使用。但是通過(guò)微軟的證書(shū)管理控制臺(tái)生成的pfx文件不能直接使用。keytool不認(rèn)此格式,報(bào)keytool錯(cuò)誤: java.io.IOException: failed to decrypt safe contents entry。需要通過(guò)OpenSSL轉(zhuǎn)換一下:
1)openssl pkcs12 -in mycerts.pfx -out mycerts.pem
2)openssl pkcs12 -export -in mycerts.pem -out mykeystore.p12
通過(guò)keytool的-list命令可檢查下密鑰倉(cāng)庫(kù)中的內(nèi)容:
keytool -rfc -list -keystore mykeystore.p12 -storetype pkcs12
這里需要指明倉(cāng)庫(kù)類型為pkcs12,因?yàn)槿笔〉念愋蜑?/span>jks。這樣此密鑰倉(cāng)庫(kù)就即包含證書(shū)信息也包含私鑰信息。
P7B格式證書(shū)導(dǎo)入:
keytool無(wú)法直接導(dǎo)入p7b文件。
需要將證書(shū)鏈RootServer.p7b(包含根證書(shū))導(dǎo)出為根rootca.cer和子rootcaserver.cer 。
將這兩個(gè)證書(shū)導(dǎo)入到可信任的密鑰倉(cāng)庫(kù)中。
keytool -import -alias rootca -trustcacerts -file rootca.cer -keystore testkeytrust.jks
遇到是否信任該證書(shū)提示時(shí),輸入y
keytool -import -alias rootcaserver -trustcacerts -file rootcaserver.cer -keystore testkeytrust.jks
總結(jié):
1)P12格式的證書(shū)是不能使用keytool工具導(dǎo)入到keystore中的
2)The Sun's PKCS12 Keystore對(duì)從IE和其他的windows程序生成的pfx格式的證書(shū)支持不太好.
3)P7B證書(shū)鏈不能直接導(dǎo)入到keystore,需要將里面的證書(shū)導(dǎo)出成cer格式,再分別導(dǎo)入到keystore。
http://blog.csdn.net/peterwanghao/article/details/1761728