java keytool 安全證書學習

keytool生成證書

驗證是否已建立過同名的證書

keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit

删除已建立的證書

keytool -delete -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit

建立證書

1.伺服器中生成證書：(注：生成證書時，CN要和伺服器的域名相同，如果在本地測試，則使用localhost)

keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -

storepass changeit

2.導出證書，由用戶端安裝：

keytool -export -alias tomcat -keystore d:\mykeystore -file d:\mycerts.cer -storepass changeit

3.用戶端配置：為用戶端的JVM導入密鑰(将伺服器下發的證書導入到JVM中)

keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -file d:\mycerts.cer -storepass changeit

常出現的異常：“未找到可信任的證書”--主要原因為在用戶端未将伺服器下發的證書導入到JVM中，可以用

keytool -list -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit

來檢視證書是否真的導入到JVM中。

Keytool是一個Java資料證書的管理工具。

keystore

Keytool将密鑰（key）和證書（certificates）存在一個稱為keystore的檔案中

在keystore裡，包含兩種資料：

密鑰實體（Key entity）——密鑰（secret key）又或者是私鑰和配對公鑰（采用非對稱加密）

可信任的證書實體（trusted certificate entries）——隻包含公鑰

Alias（别名）

每個keystore都關聯這一個獨一無二的alias，這個alias通常不區分大小寫

keystore的存儲位置

在沒有制定生成位置的情況下，keystore會存在與使用者的系統預設目錄，

如：對于window xp系統，會生成在系統的C:\Documents and Settings\UserName\

檔案名為“.keystore”

keystore的生成

引用

keytool -genkey -alias tomcat -keyalg RSA   -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 180

參數說明：

-genkey表示要建立一個新的密鑰

-dname表示密鑰的Distinguished Names，

CN=commonName

OU=organizationUnit

O=organizationName

L=localityName

S=stateName

C=country

Distinguished Names表明了密鑰的發行者身份

-keyalg使用加密的算法，這裡是RSA

-alias密鑰的别名

-keypass私有密鑰的密碼，這裡設定為changeit

-keystore 密鑰儲存在D:盤目錄下的mykeystore檔案中

-storepass 存取密碼，這裡設定為changeit，這個密碼提供系統從mykeystore檔案中将資訊取出

-validity該密鑰的有效期為 180天 (預設為90天)

cacerts證書檔案(The cacerts Certificates File)

改證書檔案存在于java.home\lib\security目錄下，是Java系統的CA憑證倉庫

建立證書

1.伺服器中生成證書：(注：生成證書時，CN要和伺服器的域名相同，如果在本地測試，則使用localhost)

keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit

2.導出證書，由用戶端安裝：

keytool -export -alias tomcat -keystore d:\mykeystore -file d:\mycerts.cer -storepass changeit

3.用戶端配置：為用戶端的JVM導入密鑰(将伺服器下發的證書導入到JVM中)

keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -file d:\mycerts.cer -storepass changeit

生成的證書可以傳遞用戶端使用者使用，用以進行SSL通訊，或者伴随電子簽名的jar包進行釋出者的身份認證。

https站點密碼驗證使用弱密碼：

現象：在Windows Vista上浏覽一個被配置成使用弱密碼（40位/56位加密）的HTTPS站點時，顯示一個錯誤頁面。

原因：在Windows Vista中，預設已經關閉了弱密碼，僅開啟強密碼。

在生成證書選擇加密方式 RSA

解決辦法：對于通路者沒有辦法解決，隻能等待https站點管理者修改驗證使用的弱密碼。

keytool生成根證書時出現如下錯誤：

keytool錯誤:java.io.IOException:keystore was tampered with,or password was incorrect

原因是在你的home目錄下是否還有.keystore存在。如果存在那麼把他删除掉，後再執行

或者删除"%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS 再執行

IE7下Https網站通路故障巧排除