java取签名公私钥的方法 java签名工具

转载

autohost 2024-03-04 20:24:23

文章标签 java取签名公私钥的方法 java import 别名 java 怎么读取pem文件里的公钥 java实现根据csr生成证书 java导出mpp格式 文章分类 Java 后端开发

一、简介

Keytool是JDK自带的证书管理工具，在jdk/bin目录下，可以用来生成自签名证书、导入导出证书、打印证书信息等。

回顾下前一章的一些概念：

PKI：公钥基础设施
X.509 ： PKI事实上的标准
CSR：向CA申请证书的签名请求文件，用ASN.1标准描述
证书链：证书之间的上下级信任关系
根证书：证书链的最顶层
DER：证书二进制格式
BER：DER的一个子集
CER：一般用于windows的证书文件格式
CRT：一般用于Linux的证书，包含公钥和主体信息
pem：Base64编码的DER证书
p12：证书交换格式，把证书和密钥(公钥+私钥)打包在一起，可以再加一层保护(.pkcs12 .pfx .p12)
JKS：Java支持的证书格式。
BKS：安卓无法直接支持JKS，使用的是BKS类型证书。
Keystore：Keytool将密钥和证书存在一个称为keystore的文件中，包含密钥实体和可信任的证书实体。

二、Java证书工具Keytool的使用

2.1 生成自签名证书.jks

创建一个名为myjks的证书，存放在teststore.jks的密钥库中。

keytool -genkeypair  -alias myjks -keysize 2048 -keyalg RSA -validity 3650 -keystore teststore.jks -storetype JKS

- genkeypair: 生成公私钥对条目，私钥不可见，公钥会以证书格式保存在keystore中。
- alias: 指定别名，区分不同条目，默认mykey，每个keystore关联一个alias
- keysize: 密钥长度
- keyalg: 公私钥算法
- validity: 证书过期时间
- keystore: 指定存储密钥的位置，不指定的话会生成到用户目录
- storetype: 密钥库类型 JKS PKCS等

java取签名公私钥的方法 java签名工具_java导出mpp格式

实际使用时名称与姓氏填域名信息；
先输入的是keystore密钥库的口令。

2.2 导出自签名证书

keytool -export -alias myjks -keystore teststore.jks -file myjks.crt

java取签名公私钥的方法 java签名工具_java实现根据csr生成证书_02

这个证书就可以分发给客户端使用。

2.2 查看证书信息

keytool -list -v -keystore teststore.jks

java取签名公私钥的方法 java签名工具_java 怎么读取pem文件里的公钥_03

2.3 显示证书内容

keytool -list -rfc -keystore teststore.jks -storepass 12345678

java取签名公私钥的方法 java签名工具_java 怎么读取pem文件里的公钥_04

2.4 导出cer证书

keytool -alias myjks -exportcert -keystore teststore.jks -file teststore.cer

java取签名公私钥的方法 java签名工具_java 怎么读取pem文件里的公钥_05

双击证书，可以查看cer内容，点安装证书就可以导入根证书。

java取签名公私钥的方法 java签名工具_java 怎么读取pem文件里的公钥_06

2.5 导出公钥

keytool -list -rfc --keystore teststore.jks | openssl x509 -inform pem -pubkey

java取签名公私钥的方法 java签名工具_java 怎么读取pem文件里的公钥_07

三、生成一个根证书来签发二级证书

3.1 生成证书签名请求文件CSR

keytool -certreq -alias myjks -keystore teststore.jks -file teststore.csr

java取签名公私钥的方法 java签名工具_java实现根据csr生成证书_08

3.2 使用自签名证书作为CA根证书，模拟CA给CSR签发证书

生成模拟CA的密钥对

keytool -genkeypair -alias rootca -keysize 2048 -keyalg RSA -validity 3650 -keystore rootstore.jks -storetype JKS

java取签名公私钥的方法 java签名工具_java实现根据csr生成证书_09

用CA的私钥签名后与myjks的公钥生成一个证书:

keytool -gencert -alias rootca -keystore rootstore.jks -infile teststore.csr -outfile teststore_new.crt

java取签名公私钥的方法 java签名工具_java 怎么读取pem文件里的公钥_10

可以看到teststore_new.crt的签发人已经变了：

java取签名公私钥的方法 java签名工具_java 怎么读取pem文件里的公钥_11

3.3 将二级证书导回teststore库中

keytool -import -v -alias rootca -file teststore_new.crt -keystore teststore.jks

java取签名公私钥的方法 java签名工具_java导出mpp格式_12

这时证书链会发生变化：

keytool -list -v -keystore teststore.jks

java取签名公私钥的方法 java签名工具_java实现根据csr生成证书_13

这时可以把root证书导出给客户端内置，服务端绑定二级证书，这样客户端验证时可以用根证书验证二级证书。大部分程序直接使用一级的自签名证书即可，但若需要双向验证，服务端验证客户端时不同客户端最好使用服务端的rootca私钥来签发，这样服务端可以直接用一个rootca的证书验证。实现了动态扩展且客户端的证书不同。

3.4 从teststore导出rootca证书

keytool -export -alias rootca -keystore teststore.jks -file rootca.crt

java取签名公私钥的方法 java签名工具_java 怎么读取pem文件里的公钥_14

四、Keytool其它常用命令

// 以rfc模式打印，即base64可见字符，与pem编码格式一样。 -v为详细输出keytool -printcert -rfc -file rootca.crt// 删除密钥库中的条目keytool -delete -alias rootca -keystore teststore.keystore// 修改证书库密码,输入旧密码或加参数 -storepass 111111keytool -storepasswd -new 123456 -keystore truststore// 修改某条目密码keytool -keypasswd -alias myCA -keypass 654321 -new newpass -storepass 123456 -keystore myCALib

本文章为转载内容，我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题，欢迎原作者联系我们进行内容更正或删除文章。