KeyStore和TrustStore

笔者的这篇文章参考了http://docs.oracle.com/cd/E19509-01/820-3503/ggfgo/index.html

KeyStore和TrustStore在很多HTTPS双向配置的文章中基本没有明白的，可能是因为当前的HTTPS网站太少，得不到重视，都是照着别人的抄一遍，然后运行一下。

KeyStore是服务器的密钥存储库，存服务器的公钥私钥证书

TrustStore是服务器的信任密钥存储库，存CA公钥，但有一部分人存的是客户端证书集合，这样并不合适

下面是几个常见的错误

1.KeyStore和TrustStore做成同一个JKS文件或PKCS12文件。通过导入客户端证书来实现验证客户端证书。实际生产中并不能这么做，客户端有成千上万个，你不可能都去导吧。

2.openssl生成CA、server、client证书，用同样的方法转成PKCS12文件，KeyStore指定server.p12，TrustStore指定CA.p12、浏览器证书个人存储区存client.p12，受信任的根证书颁发机构存CA.p12，总体思路是对的，但是CA这里这里绝对不能将私钥也导入到PKCS12中，一个正常的CA要是把CA私钥泄露了那不就惨了。

下面进入主题

一、生成JKS格式的KeyStore

JKS与其他密钥存储可有一个区别就是，不仅密钥存储库可以设置密码，并且里面的条目也可以设置密码，条目如果不设置密码默认与密钥库密码一致，条目可以存证书、密钥对，但是私钥不能直接导出
1.生成密钥库

不能单纯的生成一个密钥库，生成密钥库的时候必须同时生成一个条目
下面这个命令在当前工作目录生成了一个密钥库文件clientkeystore，里面存储了一个别名为client的密钥对

keytool -keystore clientkeystore -genkey -alias client

生成的时候提示：您的名字与姓氏是什么?(What is your first and last name?)
这一步填服务器的域名即可，必须填

2.生成证书请求文件

根据client密钥对生成证书请求文件，这个文件client.csr用于CA签名

keytool -keystore clientkeystore -certreq -alias client -keyalg rsa -file client.csr

比较常见的CA有：http://www.verisign.com

如果签署的证书在CA证书链中,那么导入cer文件即可，如果不在证书链中(比如我们自己创建的CA)，你就需要导入CA证书文件

3.导入CA证书文件

下面这个命令用于导入CA证书文件

keytool -import -keystore clientkeystore -file CARoot.cer -alias theCARoot

4.导入签名后的证书文件

如果CA对client.csr签名了，那么你会得到一个client.cer的证书文件，下面你可以导入这个签名后的证书文件

keytool -import -keystore clientkeystore -file client.cer -alias client

二、生成PKCS12格式的KeyStore

JKS格式的密钥存储库不能导出私钥，这是个缺陷，下面我们来看PKCS12格式
下面都是用openssl工具来生成

下面这个命令是将pem格式的私钥mykey.pem.txt与pem格式的证书mycertificate.pem.txt合并成一个文件mykeycertificate.pem.txt

cat mykey.pem.txt mycertificate.pem.txt>mykeycertificate.pem.txt

将上面合并的文件作为一个条目存储pkcs12存储库中，生成过程中必须输入密码

openssl pkcs12 -export -in mykeycertificate.pem.txt -out mykeystore.pkcs12 -name myAlias -noiter -nomaciter

三、生成TrustStore

命令

keytool -import -file C:\cascerts\firstCA.cert -alias firstCA -keystore myTrustStore

如果是多级CA,可能还需要导入secondCA和thirdCA