数字证书中keytool命令使用说明

这个命令一般在JDK\jre\lib\security\目录下操作 
keytool常用命令 
-alias       产生别名 
-keystore    指定密钥库的名称(就像数据库一样的证书库，可以有很多个证书，cacerts这个文件是jre自带的， 
             你也可以使用其它文件名字，如果没有这个文件名字，它会创建这样一个) 
-storepass   指定密钥库的密码 
-keypass     指定别名条目的密码 
-list        显示密钥库中的证书信息 
-v           显示密钥库中的证书详细信息 
-export      将别名指定的证书导出到文件 
-file        参数指定导出到文件的文件名 
-delete      删除密钥库中某条目 
-import      将已签名数字证书导入密钥库 
-keypasswd   修改密钥库中指定条目口令 
-dname       指定证书拥有者信息 
-keyalg      指定密钥的算法 
-validity    指定创建的证书有效期多少天 
-keysize     指定密钥长度

使用说明： 
导入一个证书命令可以如下： 
keytool -import -keystore cacerts -storepass 666666 -keypass 888888 -alias alibabacert -file C:\alibabajava\cert\test_root.cer 
其中-keystore cacerts中的cacerts是jre中默认的证书库名字，也可以使用其它名字 
-storepass 666666中的666666是这个证书库的密码 
-keypass 888888中的888888是这个特定证书的密码 
-alias alibabacert中的alibabacert是你导入证书的别名，在其它操作命令中就可以使用它 
-file C:\alibabajava\cert\test_root.cer中的文件路径就是要导入证书的路径

浏览证书库里面的证书信息，可以使用如下命令： 
keytool -list -v -alias alibabacert -keystore cacerts -storepass 666666

要删除证书库里面的某个证书，可以使用如下命令： 
keytool -delete -alias alibabacert -keystore cacerts -storepass 666666

要导出证书库里面的某个证书，可以使用如下命令： 
keytool -export -keystore cacerts -storepass 666666 -alias alibabacert -file F:\alibabacert_root.cer

要修改某个证书的密码（注意：有些数字认证没有私有密码，只有公匙，这种情况此命令无效） 
这个是交互式的，在输入命令后，会要求你输入密码 
keytool -keypasswd -alias alibabacert -keystore cacerts 
这个不是交互式的，输入命令后直接更改 
Keytool -keypasswd -alias alibabacert -keypass 888888 -new 123456 -storepass 666666 -keystore cacerts

---

Owner: CN=BOCTestCA, O=BOCTest, C=CN

Issuer: CN=BOCTestCA, O=BOCTest, C=CN

Serial number: 31e60001

Valid from: Tue Oct 28 16:54:26 CST 2008 until: Sat Oct 28 16:54:26 CST 2028

Certificate fingerprints:

MD5:  F0:35:F9:69:31:AE:87:01:6C:2D:56:BD:02:0A:16:4A

SHA1: 24:EF:84:14:4E:BD:0D:37:59:2D:70:28:79:10:88:EA:0A:06:13:20

Signature algorithm name: SHA1withRSA

Version: 3

Extensions:

#1: ObjectId: 2.5.29.19 Criticality=true

BasicConstraints:[

CA:true

PathLen:2147483647

]

#2: ObjectId: 2.5.29.15 Criticality=false

KeyUsage [

DigitalSignature

Non_repudiation

Key_Encipherment

Data_Encipherment

Key_Agreement

Key_CertSign

Crl_Sign

]

#3: ObjectId: 2.5.29.14 Criticality=false

SubjectKeyIdentifier [

KeyIdentifier [

0000: E3 81 66 00 7B C9 8F 3F   5A 77 E0 6D 5C EB 41 42  ..f....?Zw.m\.AB

0010: C7 48 5A 10                                        .HZ.

]

]

#4: ObjectId: 1.3.6.1.5.5.7.1.1 Criticality=false

AuthorityInfoAccess [

[

accessMethod: 1.3.6.1.5.5.7.48.1

accessLocation: URIName: http://182.119.171.106:12333/]

]

#5: ObjectId: 2.5.29.31 Criticality=false

CRLDistributionPoints [

[DistributionPoint:

[CN=crl1, OU=crl, O=BOCTest, C=CN]

]]

#6: ObjectId: 2.5.29.32 Criticality=false

CertificatePolicies [

[CertificatePolicyId: [2.5.29.32.0]

[PolicyQualifierInfo: [

qualifierID: 1.3.6.1.5.5.7.2.1

qualifier: 0000: 16 1E 68 74 74 70 3A 2F   2F 31 38 32 2E 31 31 39  ..http://1

82.119

0010: 2E 31 37 31 2E 31 30 36   2F 63 70 73 2E 68 74 6D  .171.106/cps.htm

]]  ]

]

#7: ObjectId: 2.16.840.1.113730.1.1 Criticality=false

NetscapeCertType [

SSL CA

S/MIME CA

Object Signing CA]

#8: ObjectId: 2.5.29.35 Criticality=false

AuthorityKeyIdentifier [

KeyIdentifier [

0000: E3 81 66 00 7B C9 8F 3F   5A 77 E0 6D 5C EB 41 42  ..f....?Zw.m\.AB

0010: C7 48 5A 10                                        .HZ.

]

]

Trust this certificate? [no]:  yes

Certificate was added to keystore

[root@orange3c bin]#

---

NOTE: (xp: %JAVA_HOME%/jre/lib/security/cacerts,  linux: $JAVA_HOME/jre/lib/security/cacerts)

验证是否已创建过同名的证书
keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts " -storepass changeit

删除已创建的证书
keytool -delete -alias tomcat -keystore "%%JAVA_HOME%/jre/lib/security/cacerts " -storepass changeit

Keytool是一个Java数据证书的管理工具。 
keystore

Keytool将密钥（key）和证书（certificates）存在一个称为keystore的文件中 
在keystore里，包含两种数据： 密钥实体（Key entity）——密钥（secret key）又或者是私钥和配对公钥（采用非对称加密） 
                                               可信任的证书实体（trusted certificate entries）——只包含公钥

Alias（别名）
每个keystore都关联这一个独一无二的alias，这个alias通常不区分大小写

keystore的存储位置
在没有制定生成位置的情况下，keystore会存在与用户的系统默认目录， 
如：对于window xp系统，会生成在系统的C:\Documents and Settings\UserName\ 
文件名为“.keystore”

keystore的生成

引用

keytool -genkey -alias tomcat -keyalg RSA   -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 180

参数说明：
-genkey表示要创建一个新的密钥 
-dname表示密钥的Distinguished Names， 
CN=commonName 
OU=organizationUnit 
O=organizationName 
L=localityName 
S=stateName 
C=country 
Distinguished Names表明了密钥的发行者身份 
-keyalg使用加密的算法，这里是RSA 
-alias密钥的别名 
-keypass私有密钥的密码，这里设置为changeit
-keystore 密钥保存在D:盘目录下的mykeystore文件中 
-storepass 存取密码，这里设置为changeit，这个密码提供系统从mykeystore文件中将信息取出 
-validity该密钥的有效期为 180天 (默认为90天)

cacerts证书文件(The cacerts Certificates File)
该证书文件存在于java.home\jre\lib\security目录下，是Java系统的CA证书仓库

创建证书
1.服务器中生成证书：(注：生成证书时，CN要和服务器的域名相同，如果在本地测试，则使用localhost)
keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit
2.导出证书，由客户端安装：
keytool -export -alias tomcat -keystore d:\mykeystore -file d:\mycerts.cer -storepass changeit
3.客户端配置：为客户端的JVM导入密钥(将服务器下发的证书导入到JVM中)
keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts " -file d:\mycerts.cer -storepass changeit
生成的证书可以交付客户端用户使用，用以进行SSL通讯，或者伴随电子签名的jar包进行发布者的身份认证。

常出现的异常：“未找到可信任的证书”--主要原因为在客户端未将服务器下发的证书导入到JVM中，可以用
keytool -list -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit

linux: #keytool -list -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
来查看证书是否真的导入到JVM中。

keytool生成根证书时出现如下错误：

keytool错误:java.io.IOException:keystore was tampered with,or password was incorrect

原因是在你的home目录下是否还有.keystore存在。如果存在那么把他删除掉，然后再执行

或者删除"%JAVA_HOME%/jre/lib/security/cacerts 再执行

keytool 用法：

-certreq     [-v] [-protected]

[-alias <别名>] [-sigalg <sigalg>]

[-file <csr_file>] [-keypass <密钥库口令>]

[-keystore <密钥库>] [-storepass <存储库口令>]

[-storetype <存储类型>] [-providername <名称>]

[-providerclass <提供方类名称> [-providerarg <参数>]] ...

[-providerpath <路径列表>]

-changealias [-v] [-protected] -alias <别名> -destalias <目标别名>

[-keypass <密钥库口令>]

[-keystore <密钥库>] [-storepass <存储库口令>]

[-storetype <存储类型>] [-providername <名称>]

[-providerclass <提供方类名称> [-providerarg <参数>]] ...

[-providerpath <路径列表>]

-delete      [-v] [-protected] -alias <别名>

[-keystore <密钥库>] [-storepass <存储库口令>]

[-storetype <存储类型>] [-providername <名称>]

[-providerclass <提供方类名称> [-providerarg <参数>]] ...

[-providerpath <路径列表>]

-exportcert  [-v] [-rfc] [-protected]

[-alias <别名>] [-file <认证文件>]

[-keystore <密钥库>] [-storepass <存储库口令>]

[-storetype <存储类型>] [-providername <名称>]

[-providerclass <提供方类名称> [-providerarg <参数>]] ...

[-providerpath <路径列表>]

-genkeypair  [-v] [-protected]

[-alias <别名>]

[-keyalg <keyalg>] [-keysize <密钥大小>]

[-sigalg <sigalg>] [-dname <dname>]

[-validity <valDays>] [-keypass <密钥库口令>]

[-keystore <密钥库>] [-storepass <存储库口令>]

[-storetype <存储类型>] [-providername <名称>]

[-providerclass <提供方类名称> [-providerarg <参数>]] ...

[-providerpath <路径列表>]

-genseckey   [-v] [-protected]

[-alias <别名>] [-keypass <密钥库口令>]

[-keyalg <keyalg>] [-keysize <密钥大小>]

[-keystore <密钥库>] [-storepass <存储库口令>]

[-storetype <存储类型>] [-providername <名称>]

[-providerclass <提供方类名称> [-providerarg <参数>]] ...

[-providerpath <路径列表>]

-importcert  [-v] [-noprompt] [-trustcacerts] [-protected]

[-alias <别名>]

[-file <认证文件>] [-keypass <密钥库口令>]

[-keystore <密钥库>] [-storepass <存储库口令>]

[-storetype <存储类型>] [-providername <名称>]

[-providerclass <提供方类名称> [-providerarg <参数>]] ...

[-providerpath <路径列表>]

-importkeystore [-v]

[-srckeystore <源密钥库>] [-destkeystore <目标密钥库>]

[-srcstoretype <源存储类型>] [-deststoretype <目标存储类型>]

[-srcstorepass <源存储库口令>] [-deststorepass <目标存储库口令>]

[-srcprotected] [-destprotected]

[-srcprovidername <源提供方名称>]

[-destprovidername <目标提供方名称>]

[-srcalias <源别名> [-destalias <目标别名>]

[-srckeypass <源密钥库口令>] [-destkeypass <目标密钥库口令>]]

[-noprompt]

[-providerclass <提供方类名称> [-providerarg <参数>]] ...

[-providerpath <路径列表>]

-keypasswd   [-v] [-alias <别名>]

[-keypass <旧密钥库口令>] [-new <新密钥库口令>]

[-keystore <密钥库>] [-storepass <存储库口令>]

[-storetype <存储类型>] [-providername <名称>]

[-providerclass <提供方类名称> [-providerarg <参数>]] ...

[-providerpath <路径列表>]

-list        [-v | -rfc] [-protected]

[-alias <别名>]

[-keystore <密钥库>] [-storepass <存储库口令>]

[-storetype <存储类型>] [-providername <名称>]

[-providerclass <提供方类名称> [-providerarg <参数>]] ...

[-providerpath <路径列表>]

-printcert   [-v] [-file <认证文件>]

-storepasswd [-v] [-new <新存储库口令>]

[-keystore <密钥库>] [-storepass <存储库口令>]

[-storetype <存储类型>] [-providername <名称>]

[-providerclass <提供方类名称> [-providerarg <参数>]] ...

[-providerpath <路径列表>]