证书库操作及理解

阅读更多

最近在做一个证书库管理的东西，涉及到工具KeyTool, OpenSSL. 证书库就是jks, pck12格式的私人证书（库）。

1. 有关JKS
jks是证书库，可以在配置ssl的时候使用。在配置ssl时一般分为信任库和证书库。具体哪个是只个要看做什么用途，哪个是客户端。jks里有KeyEntry和CertEntry, 而且可以具有多个这些Entry. KeyEntry是必须包含PrivateKey和证书（当然也包含了PublicKey）。在库里的每个Entry都是靠别名来识别的。

2. PCK12格式证书（库）
一般扩展名为p12, 就是个人证书（库）。之所以有个"(库)"，是因为虽然它里面只有一个证书和私钥，但可以当作jks来使用, 当然要提供正确的口令了。

3. 导入PCK12到jks
p12的证书是不能直接导入到jks的，Java的Keytool也没有提供这个功能。 KeyTool也没有办法处理PrivateKey.
关于如何导入pk12，就要“曲线救国”了。第一步， 把p12里的证书和privateKey提取出来。第二步，再把证书和privateKey导入到jks里。这样就可以实现导入了。至于如何实现，只用证书的话，可以把p12导入到ie里，再把证书从ie里导出来，这样导出的证书就是x.509格式的，就可以用keyTool来导入到jks里了。如果同时需要导入privateKey的话，就要用程序来实现或者找其他工具帮助了。我是用程序来做的。

4. Entry的别名
jks里的Entry通过别名来识别的，如果jks里已经有一些证书，而你导入的时候使用的别名和库的证书重名，就会覆盖旧的Entry. 当然删除的时候也是要指定别名才能删除的。

有时间的时候，我会把这块的相关程序整理一下发上来，供大家参考。