HTTPS安全通讯 4. Keytool工具使用

HTTPS安全通讯 4. Keytool工具使用

  • 一、简介
  • 二、Java证书工具Keytool的使用
    • 2.1 生成自签名证书`.jks`
    • 2.2 导出自签名证书
    • 2.2 查看证书信息
    • 2.3 显示证书内容
    • 2.4 导出`cer`证书
    • 2.5 导出公钥
  • 三、生成一个根证书来签发二级证书
    • 3.1 生成证书签名请求文件`CSR`
    • 3.2 使用自签名证书作为`CA`根证书,模拟`CA`给`CSR`签发证书
      • 生成模拟CA的密钥对
    • 3.3 将二级证书导回teststore库中
    • 3.4 从teststore导出rootca证书
  • 四、Keytool其它常用命令

一、简介

Keytool是JDK自带的证书管理工具,在jdk/bin目录下,可以用来生成自签名证书、导入导出证书、打印证书信息等。

回顾下前一章的一些概念:

  • PKI:公钥基础设施。
  • X.509 : PKI事实上的标准。
  • CSR:向CA申请证书的签名请求文件,用ASN.1标准描述。
  • 证书链:证书之间的上下级信任关系。
  • 根证书:证书链的最顶层。
  • DER:证书二进制格式。
  • BER:DER的一个子集。
  • CER:一般用于windows的证书文件格式,俗称的证书,证书里只有公钥没有私钥。
  • CRT:一般用于Linux的证书,包含公钥和主体信息。
  • pem:Base64编码的DER证书。
  • p12:证书交换格式,把证书和密钥(公钥+私钥)打包在一起,私钥是加密的。文件格式一般有:.pkcs12 .pfx .p12。
  • JKS:Java支持的证书格式,可以容纳很多公钥与私钥,是一个密钥库。
  • BKS:安卓无法直接支持JKS,使用的是BKS类型证书。
  • Keystore:Keytool将密钥和证书存在一个称为keystore的文件中,包含密钥实体和可信任的证书实体。
  • truststore:表示信任证书存储库,仅包含了通信对方的公钥。

二、Java证书工具Keytool的使用

2.1 生成自签名证书.jks

创建一个名为myjks的证书,存放在teststore.jks的密钥库中。

keytool -genkeypair  -alias myjks -keysize 2048 -keyalg RSA -validity 3650 -keystore teststore.jks -storetype JKS 
  • - genkeypair: 生成公私钥对条目,私钥不可见,公钥会以证书格式保存在keystore中。
  • - alias: 指定别名,区分不同条目,默认mykey,每个keystore关联一个alias
  • - keysize: 密钥长度
  • - keyalg: 公私钥算法
  • - validity: 证书过期时间
  • - keystore: 指定存储密钥的位置,不指定的话会生成到用户目录
  • - storetype: 密钥库类型 JKS PKCS等

HTTPS安全通讯 4. Keytool工具使用_第1张图片

  • 实际使用时名称与姓氏填域名信息;
  • 先输入的是keystore密钥库的口令。

2.2 导出自签名证书

keytool -export -alias myjks -keystore teststore.jks -file myjks.crt

HTTPS安全通讯 4. Keytool工具使用_第2张图片
这个证书就可以分发给客户端使用。

2.2 查看证书信息

keytool -list -v -keystore teststore.jks

HTTPS安全通讯 4. Keytool工具使用_第3张图片

2.3 显示证书内容

keytool -list -rfc -keystore teststore.jks -storepass 12345678

HTTPS安全通讯 4. Keytool工具使用_第4张图片

2.4 导出cer证书

keytool -alias myjks -exportcert -keystore teststore.jks -file teststore.cer

在这里插入图片描述

双击证书,可以查看cer内容,点安装证书就可以导入根证书。
HTTPS安全通讯 4. Keytool工具使用_第5张图片

2.5 导出公钥

keytool -list -rfc --keystore teststore.jks | openssl x509 -inform pem -pubkey

HTTPS安全通讯 4. Keytool工具使用_第6张图片

三、生成一个根证书来签发二级证书

3.1 生成证书签名请求文件CSR

keytool -certreq -alias myjks -keystore teststore.jks -file teststore.csr

HTTPS安全通讯 4. Keytool工具使用_第7张图片

3.2 使用自签名证书作为CA根证书,模拟CACSR签发证书

生成模拟CA的密钥对

keytool -genkeypair -alias rootca -keysize 2048 -keyalg RSA -validity 3650 -keystore rootstore.jks -storetype JKS

HTTPS安全通讯 4. Keytool工具使用_第8张图片

  • 用CA的私钥签名后与myjks的公钥生成一个证书:
keytool -gencert -alias rootca -keystore rootstore.jks -infile teststore.csr -outfile teststore_new.crt

HTTPS安全通讯 4. Keytool工具使用_第9张图片
可以看到teststore_new.crt的签发人已经变了:
HTTPS安全通讯 4. Keytool工具使用_第10张图片

3.3 将二级证书导回teststore库中

keytool -import -v -alias rootca -file teststore_new.crt -keystore teststore.jks

HTTPS安全通讯 4. Keytool工具使用_第11张图片

这时证书链会发生变化 :

keytool -list -v -keystore teststore.jks

HTTPS安全通讯 4. Keytool工具使用_第12张图片
这时可以把root证书导出给客户端内置,服务端绑定二级证书,这样客户端验证时可以用根证书验证二级证书。
大部分程序直接使用一级的自签名证书即可,但若需要双向验证,服务端验证客户端时不同客户端最好使用服务端的rootca私钥来签发,这样服务端可以直接用一个rootca的证书验证。实现了动态扩展且客户端的证书不同。 ​

3.4 从teststore导出rootca证书

keytool -export -alias rootca -keystore teststore.jks -file rootca.crt

HTTPS安全通讯 4. Keytool工具使用_第13张图片

四、Keytool其它常用命令

// 以rfc模式打印,即base64可见字符,与pem编码格式一样。 -v为详细输出
keytool -printcert -rfc -file rootca.crt

// 删除密钥库中的条目
keytool -delete -alias rootca -keystore teststore.keystore

// 修改证书库密码,输入旧密码或加参数 -storepass 111111
keytool -storepasswd -new 123456 -keystore truststore

// 修改某条目密码
keytool -keypasswd -alias myCA -keypass 654321 -new newpass -storepass 123456 -keystore myCALib

你可能感兴趣的:(运维-网络与软件安全)