博舍

JAVA:如何生成签名证书(keystore) cer文件生成keystore文件

JAVA:如何生成签名证书(keystore)

有时开发过程中需要使用数字证书(.keystore文件)进行签名,用于表明开发者身份。

可以使用JRE环境中的keytool命令生成。以下是windows平台生成证书的方法:

装JRE环境(推荐使用JRE8环境,如已有可跳过)

可从Oracle官方下载jre安装包:https://www.oracle.com/technetwork/java/javase/downloads/index.html下面以Windows平台,jre安装目录为“C:ProgramFilesJavajre1.8.0_201”为例,实际操作时请修改为自己安装目录建议将JRE安装路径添加到系统环境变量,已配置可跳过此章节打开命令行(cmd),输入以下命令:

d: 

setPATH=%PATH%;"C:ProgramFilesJavajre1.8.0_201in"

第一行:切换工作目录到D:路径第二行:将jre命令添加到临时环境变量中生成签名证书

使用keytool-genkey命令生成证书:

复制代码keytool-genkey-aliastestalias-keyalgRSA-keysize2048-validity36500-keystoretest.keystoretestalias是证书别名,可修改为自己想设置的字符,建议使用英文字母和数字test.keystore是证书文件名称,可修改为自己想设置的文件名称,也可以指定完整文件路径36500是证书的有效期,表示100年有效期,单位天,建议时间设置长一点,避免证书过期

回车后会提示:

Enterkeystorepassword://输入证书文件密码,输入完成回车Re-enternewpassword://再次输入证书文件密码,输入完成回车Whatisyourfirstandlastname?[Unknown]://输入名字和姓氏,输入完成回车Whatisthenameofyourorganizationalunit?[Unknown]://输入组织单位名称,输入完成回车Whatisthenameofyourorganization?[Unknown]://输入组织名称,输入完成回车WhatisthenameofyourCityorLocality?[Unknown]://输入城市或区域名称,输入完成回车WhatisthenameofyourStateorProvince?[Unknown]://输入省/市/自治区名称,输入完成回车Whatisthetwo-lettercountrycodeforthisunit?[Unknown]://输入国家/地区代号(两个字母),中国为CN,输入完成回车IsCN=XX,OU=XX,O=XX,L=XX,ST=XX,C=XXcorrect?[no]://确认上面输入的内容是否正确,输入y,回车Enterkeypasswordfor(RETURNifsameaskeystorepassword)://确认证书密码与证书文件密码一样(HBuilder|HBuilderX要求这两个密码一致),直接回车就可以

以上命令运行完成后就会生成证书,路径为“D: est.keystore”。

查看证书信息

可以使用以下命令查看:

keytool-list-v-keystoretest.keystoreEnterkeystorepassword://输入密码,回车

会输出以下格式信息:

Keystoretype:PKCS12Keystoreprovider:SUNYourkeystorecontains1entryAliasname:testCreationdate:2019-10-28Entrytype:PrivateKeyEntryCertificatechainlength:1Certificate[1]:Owner:CN=Tester,OU=Test,O=Test,L=HD,ST=BJ,C=CNIssuer:CN=Tester,OU=Test,O=Test,L=HD,ST=BJ,C=CNSerialnumber:7dd12840Validfrom:FriJul2620:52:56CST2019until:SunJul0220:52:56CST2119Certificatefingerprints:MD5:F9:F6:C8:1F:DB:AB:50:14:7D:6F:2C:4F:CE:E6:0A:A5SHA1:BB:AC:E2:2F:97:3B:18:02:E7:D6:69:A3:7A:28:EF:D2:3F:A3:68:E7SHA256:24:11:7D:E7:36:12:BC:FE:AF:2A:6A:24:BD:04:4F:2E:33:E5:2D:41:96:5F:50:4D:74:17:7F:4F:E2:55:EB:26Signaturealgorithmname:SHA256withRSASubjectPublicKeyAlgorithm:2048-bitRSAkeyVersion:3

其中证书指纹信息(Certificatefingerprints):

MD5证书的MD5指纹信息(安全码MD5)SHA1证书的SHA1指纹信息(安全码SHA1)SHA256证书的SHA256指纹信息(安全码SHA245)

【keytool】用keytool创建keystore和trustsotre文件

前言

JSSE使用truststore和keystore文件来提供客户端和服务器之间的安全数据传输。

keytool是一个工具可以用来创建包含公钥和密钥的的keystore文件,并且利用keystore文件来创建只包含公钥的truststore文件。

在本文中,我们学习如何通过下面的5步简单的创建truststore和keystore文件。

1.生成一个含有一个私钥的keystore文件 

2.验证新生成的keystor而文件 

3.导出凭证文件 

4.将凭证件导入到truststore文件

5.验证新创建的truststore文件 

第一步 生成一个含有一个私钥的keystore文件 

Java的keytool工具可以把密钥和认证保存到keystore文件。 

如果在windows上,keytool命令被放到Java的bin目录下(例如C:ProgramFilesJavajdk1.6.0_12)。

如果是mac上是放在/System/Library/Frameworks/JavaVM.framework/Versions/Current/Commands目录下。

生成keystore文件

# keytool-genkeypair -aliascertificatekey -keyalgRSA -validity365 -keystorekeystore.jks 

一旦执行了命令,你会被要求输入密码,这里我们输入“123456”。

输入密码以后,需要输入一些key的详细信息,如下图:

用非交互的方式生成:

#keytool

-genkeypair

-keystorekeystore.jks

-alias certificatekey 

-keypass123456

-storepass123456

-keyalgRSA

-keysize2048

-validity3650

-dname"CN=*.example.com,OU=Test,O=Test,L=ShenZhen,ST=GuangDong,C=CN"

第二步 验证新生成的keystor而文件

#keytool-list -v -keystorekeystore.jks 

非交互的验证方式

# keytool-list -v  -storepass"123456" -keystorekeystore.jks 

执行上面的命令后,你会看到key的详细信息:

第三步 导出凭证文件

你可以导出自我签署凭证或是Verisign或其他的认证机构的商业凭证的。

这里只说导出自我签署的凭证,

通过执行下面的命令把自我签署的凭证保存到“selfsignedcert.cer”文件。

#keytool-export-aliascertificatekey-keystorekeystore.jks -rfc-fileselfsignedcert.cer

#keytool-export-aliascertificatekey-keystorekeystore.jks-rfc > selfsignedcert.cer 

执行上面的命令,会要求你输入密码,就是上面生成keystore的输入的密码“123456”

非交互的生成方式

#keytool-export-aliascertificatekey-keystorekeystore.jks -storepass"123456" -rfc-fileselfsignedcert.cer

查看生成的cer文件内容

#cat selfsignedcert.cer

第四步将凭证件导入到truststore文件 

#keytool-import -aliascertificatekey -fileselfsignedcert.cer -keystoretruststore.jks 

执行命令后,会要求输入密码,同样是keystore的密码“123456”

非交互的导入方式

#keytool-import -aliascertificatekey -fileselfsignedcert.cer  -storepass"123456"  -noprompt -keystoretruststore.jks

第五步 验证新创建的truststore文件

# keytool-list-v-keystoretruststore.jks 

非交互的验证方式

# keytool-list-v  -storepass"123456"   -keystoretruststore.jks 

执行上面的命令会看到如下的内容 

JAVA Keytool工具生成Keystore和Truststore文件

JAVAKeytool工具生成Keystore和Truststore文件文章目录JAVAKeytool工具生成Keystore和Truststore文件生成含有一个私钥的keystore文件查看生成的keystore文件导出证书导入证书到truststore文件中查看生成的truststore文件Java指定keystore和truststoreKeystore可以存放除了证书、公钥外其它敏感信息,比如密码、私钥……证书可以是关联的证书或者一个证书链。证书链有客户端证书和一个或多个CA证书。

Truststore仅仅包含客户端信任的证书、公钥。它无法存放敏感信息。

生成含有一个私钥的keystore文件keytool-genkeypair-aliascertificatekey-keyalgRSA-validity7-keystorekeystore.jks

上述命令执行后,我们需要输入文件加密密码、相关个人信息以及秘钥口令(秘钥口令可以与文件加密密码一致)。样例输出如下:

输入密钥库口令:再次输入新口令:您的名字与姓氏是什么?[Unknown]:chris您的组织单位名称是什么?[Unknown]:free您的组织名称是什么?[Unknown]:free您所在的城市或区域名称是什么?[Unknown]:city您所在的省/市/自治区名称是什么?[Unknown]:city该单位的双字母国家/地区代码是什么?[Unknown]:cnCN=chris,OU=free,O=free,L=city,ST=city,C=cn是否正确?[否]:y输入的密钥口令(如果和密钥库口令相同,按回车):再次输入新口令:Warning:JKS密钥库使用专用格式。建议使用"keytool-importkeystore-srckeystorekeystore.jks-destkeystorekeystore.jks-deststoretypepkcs12"迁移到行业标准格式PKCS12。查看生成的keystore文件keytool-list-v-keystorekeystore.jks

上述命令执行后,我们需要输入之前设定的文件加密密码。校验成功后,命令会展示出keystore文件的内容,样例输出如下:

输入密钥库口令:密钥库类型:jks密钥库提供方:SUN您的密钥库包含1个条目别名:certificatekey创建日期:2019-11-21条目类型:PrivateKeyEntry证书链长度:1证书[1]:所有者:CN=chris,OU=free,O=free,L=city,ST=city,C=cn发布者:CN=chris,OU=free,O=free,L=city,ST=city,C=cn序列号:2b57a2eb有效期为ThuNov2114:17:26CST2019至ThuNov2814:17:26CST2019证书指纹:MD5:1F:FE:8E:D1:70:98:13:B8:06:2A:FB:7A:A6:88:D8:C4SHA1:87:71:6B:37:16:0D:78:4A:48:53:70:6F:6D:ED:0C:81:5C:6D:D0:09SHA256:05:06:9A:CC:69:18:C6:D1:45:FA:4C:59:38:70:69:FC:6B:4B:B2:C8:BF:9B:0A:11:9E:FA:2E:DE:48:C9:38:29签名算法名称:SHA256withRSA主体公共密钥算法:2048位RSA密钥版本:3扩展:#1:ObjectId:2.5.29.14Criticality=falseSubjectKeyIdentifier[KeyIdentifier[0000:80057D……导出证书keytool-export-aliascertificatekey-keystorekeystore.jks-rfc-fileselfsignedcert.cer

上述命令导出证书到文件selfsignedcert.cer中,命令执行时,需要输入keystore文件加密密码。样例输出结果如下:

输入密钥库口令:存储在文件中的证书导入证书到truststore文件中keytool-import-aliascertificatekey-fileselfsignedcert.cer-keystoretruststore.jks

上述命令执行时,要求输入truststore文件加密密码。命令执行成功后,证书selfsignedcert.cer被增加到了truststore.jks文件中。样例输出如下:

输入密钥库口令:再次输入新口令:所有者:CN=chris,OU=free,O=free,L=city,ST=city,C=cn发布者:CN=chris,OU=free,O=free,L=city,ST=city,C=cn序列号:2b57a2eb有效期为ThuNov2114:17:26CST2019至ThuNov2814:17:26CST2019证书指纹:MD5:1F:FE:8E:D1:70:98:13:B8:06:2A:FB:7A:A6:88:D8:C4SHA1:87:71:6B:37:16:0D:78:4A:48:53:70:6F:6D:ED:0C:81:5C:6D:D0:09SHA256:05:06:9A:CC:69:18:C6:D1:45:FA:4C:59:38:70:69:FC:6B:4B:B2:C8:BF:9B:0A:11:9E:FA:2E:DE:48:C9:38:29签名算法名称:SHA256withRSA主体公共密钥算法:2048位RSA密钥版本:3扩展:#1:ObjectId:2.5.29.14Criticality=falseSubjectKeyIdentifier[KeyIdentifier[0000:80057D675E18894F95E86041B3C46C8D...g^..O..`A..l.0010:38908E0B8...]]是否信任此证书?[否]:y证书已添加到密钥库中查看生成的truststore文件keytool-list-v-keystoretruststore.jks

上述命令执行时,要求输入truststore加密密码。之后会展示truststore的相关内容,样例输出如下:

输入密钥库口令:密钥库类型:jks密钥库提供方:SUN您的密钥库包含1个条目别名:certificatekey创建日期:2019-11-21条目类型:trustedCertEntry所有者:CN=chris,OU=free,O=free,L=city,ST=city,C=cn发布者:CN=chris,OU=free,O=free,L=city,ST=city,C=cn序列号:2b57a2eb有效期为ThuNov2114:17:26CST2019至ThuNov2814:17:26CST2019证书指纹:MD5:1F:FE:8E:D1:70:98:13:B8:06:2A:FB:7A:A6:88:D8:C4SHA1:87:71:6B:37:16:0D:78:4A:48:53:70:6F:6D:ED:0C:81:5C:6D:D0:09SHA256:05:06:9A:CC:69:18:C6:D1:45:FA:4C:59:38:70:69:FC:6B:4B:B2:C8:BF:9B:0A:11:9E:FA:2E:DE:48:C9:38:29签名算法名称:SHA256withRSA主体公共密钥算法:2048位RSA密钥版本:3扩展:#1:ObjectId:2.5.29.14Criticality=falseSubjectKeyIdentifier[KeyIdentifier[0000:80057D675E18894F95E86041B3C46C8D...g^..O..`A..l.0010:38908E0B8...]]Java指定keystore和truststore-Djavax.net.ssl.keyStore=keystore.jks-Djavax.net.ssl.keyStorePassword=******-Djavax.net.ssl.trustStore=truststore.jks-Djavax.net.ssl.trustStorePassword=******

上面的所有参数均为JVM启动参数,设置keystore和truststore属性。其中keystore与truststore属性均为文件的具体路径。如果没有显示指定上述属性,那么JVM默认使用$JAVA_HOME/lib/security/cacerts文件作为truststore,并读取其中的授信证书(默认密码为changeit)。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。

上一篇

下一篇

相关文章