对所有的密钥仓库项(密钥项和可信任的证书项)的访问都要通过唯一的别名来进行。别名不区分大小写,即别名 Hugo 和 hugo 指的是同一密钥仓库项。
当用-genkey命令来生成密钥对(公钥和私钥)或用 -import 命令来将证书或证书链加到可信任证书的清单中,以增加一个实体到密钥仓库中,必须指定了一个别名。后续 keytool 命令必须使用这一相同的别名来引用该实体。
可以将pfx或p12文件当作一个keystore使用,java.security.KeyStore支持对PKCS12编码格式的文件解析,可以通过java.security.KeyStore从.pfx或.p12文件中获取证书和私钥。
这里要注意的地方是有关密钥的别名(alias)。用keytool工具产生证书和密钥时会被要求定义一个别名。但用openssl之类的工具产生证书和密钥时,别名不是必须的。但是在获取密钥和证书时,需要指定别名。
例如:
String keystorefile = "c://test.p12";
String keypasswd = "mypasswd";
String keyalias = "alias";
KeyStore ks = KeyStore.getInstance("PKCS12");
FileInputStream fin = new FileInputStream(keystorefile);
ks.load(fin,keypasswd.toCharArray());
PrivateKey prikey = (PrivateKey)ks.getKey(keyalias,keypasswd.toCharArray());
Certificate cert = ks.getCertificate(keyalias);
PublicKey pubkey = cert.getPublicKey();
当你不知道别名时,可以通过KeyStore的aliases()方法获取该文件包含的所有别名。
openssl产生的.p12文件,别名是诸如1,2,3.....
而通过导入IE再导出的.pfx文件,别名则是{xxxxx-xxxxx...}之类的。