是一個JAVA環境下的安全鑰匙與憑證的管理工具.它管理一個存儲了私有鑰匙和驗證相應公共鑰匙的與它們相關聯的X.509 憑證鏈的keystore(相當一個資料庫,裏面可存放多個X.509標準的憑證).
Keytool 是一個有效的安全鑰匙和憑證的管理工具. 它能夠使用戶使用數位簽名來管理他們自己的私有/公共鑰匙對,管理用來作自我鑒定的相關的憑證,管理資料完整性和鑒定服務.它還能使用戶在通信時緩存它們的公共鑰匙.
一個憑證是某一實體(個人,公司等)的數位簽名,指出其他實體的公共鑰匙(或其他資訊)的詳細的值.當資料被簽名後,這個簽名資訊被用來檢驗資料的完整性和真實性.完整性指數據沒有被修改和篡改,真實性指數據從任何產生和簽名的一方真正的傳輸到達.
Keytool 把鑰匙和憑證儲存到一個keystore.默任的實現keystore的是一個檔.它用一個密碼保護鑰匙.
1.鑰匙入口:保存了非常敏感的加密的鑰匙資訊,並且是用一個保護的格式存儲以防止未被授權的訪問.以這種形式存儲的鑰匙是秘密鑰匙,或是一個對應憑證鏈中公有鑰匙的私有鑰匙.
2.信任憑證入口:包含一個屬於其他部分的單一公共鑰匙憑證.它之所以被稱為"信任憑證",是因為keystore信任的憑證中的公共鑰匙真正屬於憑證所有者的身份識別.
所有的keystore入口(鑰匙和信任憑證入口)是通過唯一的別名訪問.別名是 不區分大小寫的.如別名Hugo和hugo指向同一個keystore入口.
可以在加一個入口到keystore的時候使用-genkey參數來產生一個鑰匙對(公共鑰匙和私有鑰匙)時指定別名.也可以用-import參數加一個憑證或憑證鏈到信任憑證,例如:
keytool -genkey -alias myssl -keypass mysslpasswd
其中myssl為別名,mysslpasswd為myssl別名的密碼.這行命令的作用是產生一個新的公共/私有鑰匙對.
假如你想修改密碼,可以用:
keytool -keypasswd -alias myssl -keypass mysslpasswd -new newpass
將舊密碼mysslpasswd改為newpass.
1.當使用-genkey 或-import或-identitydb命令添加資料到一個keystore,而當這個keystore不存在時,產生一個keystore.預設名是.keystore,存放到user-home目錄.
2.當用-keystore指定時,將產生指定的keystore.
Keytool 類位於java.security包下,提供一個非常好的介面去取得和修改一個keystore中的資訊. 目前有兩個命令行:keytool和jarsinger,一個GUI工具Policy 可以實現keystore.由於keystore是公開的,用戶可以用它寫一些額外的安全應用程式.
Keystore還有一個sun公司提供的內在實現.它把keystore作為一個檔來實現.利用了一個keystore類型(格式)"JKS".它用單獨的密碼保護每一個私有鑰匙.也用可能不同的密碼保護整個keystore的完整性.
keytool允許用戶指定鑰匙對和註冊密碼服務供應者所提供的簽名演算法.預設的鑰匙對產生演算法是"DSA".假如私有鑰匙是"DSA"類型,預設簽名演算法是"SHA1withDSA",假如私有鑰匙是"RSA"類型,預設演算法是"MD5withRSA".
當產生一個DSA鑰匙對,鑰匙必須在512-1024位之間.對任何演算法的預設鑰匙大小是1024位.
keytool -genkey -alias myssl -keyalg RSA -keystore myssl.jks
運行這個命令,系統提示:
yourpassword(輸入密碼)
[Unknown]: www.myssl.cn(輸入申請的憑證的網域名稱)
[Unknown]:Fastcom(輸入你所在組織單位的名字)
[Unknown]:Fastcom (輸入你所在組織的名字)
[Unknown]:Shanghai(輸入所在城市的名字)
[Unknown]:Shanghai(輸入所在省份名字)
[Unknown]:TW(輸入國家名字,如果是台灣,請輸入TW)
yes
keytool -list -v -keystore myssl.jks
yourpassword(輸入密碼)
將顯示keystore內容如下:
Keystore type: jks
Keystore provider: SUN
Your keystore contains 1 entry
Alias name: myssl
Creation date: Nov 24 , 2006
Entry type: keyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=www.myssl.cn, OU=fatcom, O=fastcom, L=Shanghai, ST=Shanghai, C=CN
Issuer: CN=www.myssl.cn, OU=fastcom, O=fastcom, L=Shanghai, ST=Shanghai, C=CN
Serial number: 3c22adc1
Valid from: Thu Nov 24 19:34:25 PST 2006 until: Thu Nov 24 19:34:25 PST 2007
Certificate fingerprints:
MD5: F1:5B:9B:A1:F7:16:CF:25:CF:F4:FF:35:3F:4C:9C:F0
SHA1: B2:00:50:DD:B6:CC:35:66:21:45:0F:96:AA:AF:6A:3D:E4:03:7C:74
keytool -export -alias myssl -keystore myssl.jks -rfc -file testkey
系統輸出:
your password(輸入密碼)
Certificate stored in file
keytool -import -alias myssl -file testkey -keystore truststore
your new password.(輸入truststore新密碼)
keytool -list -v -keystore truststore
系統將顯示truststore的資訊.
參數 |
說明 |
-genkey |
在用戶主目錄中建立一個預設檔".keystore",還會產生一個mykey的別名,mykey中包含用戶的公鑰、私鑰和憑證 |
-alias |
別名 |
-keystore |
指定密鑰庫的名稱(產生的各類資訊將不在.keystore文件中 |
-keyalg |
指定密鑰的演算法 |
-validity |
指定建立的憑證有效期多少天 |
-keysize |
指定密鑰長度 |
-storepass |
指定密鑰庫的密碼 |
-keypass |
指定別名條目的密碼 |
-dname |
指定憑證擁有者資訊 例如: "CN=sagely,OU=atr,O=szu,L=sz,ST=gd,C=cn" |
-list |
顯示密鑰庫中的憑證詳細資訊 |
-export |
將別名指定的憑證導出到文件 keytool -export -alias caroot -file caroot.crt |
-file |
參數指定導出到檔的檔案名 |
-delete |
刪除密鑰庫中某條目 |
-keypasswd |
修改密鑰庫中指定條目口令 keytool -keypasswd -alias sage -keypass .... -new .... -storepass ... -keystore sage |
-import |
將已簽名數位憑證導入密鑰庫 keytool -import -alias sage -keystore sagely -file sagely.crt
導入已簽名數位憑證用keytool -list -v 以後可以明顯發現多了認證鏈長度,並且把整個CA鏈全部列印出來 |
|