Keytool 是一个Java数据证书的管理工具 ,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里,包含两种数据:密钥实体(Key entity)-密钥(secret key)或者是私钥和配对公钥(采用非对称加密)可信任的证书实体(trusted certificate entries)-只包含公钥。
相关参数:
-genkey 在用户的主目录中创建一个默认文件".keystore" , 还会产生一个mykey 的别名, mykey 中包含用户的公钥、私钥和证书, 在windows系统下,用户的主目录指的一般是"C:/Documents and Settings/计算机用户名", 这个是不会变的。 -alias 产生别名 -keystore 指定密钥库的名称(产生的各类信息将不在.keystore 文件中) -keyalg 指定密钥的算法 -validity 指定创建的证书的有效时间 -keysize 指定密钥长度 -storepass 指定密钥库的密码 -keypass 指定别名条目的密码 -dname 指定证书拥有者信息,例如:"CN=firstName,OU=org,O=bj,L=bj,ST=gd,C=cn" -list 显示密钥库中的证书信息,例如:keytool -list -v -keystore 别名 -storepass .... -v 显示密钥库中的证书信息 -export 将别名指定的证书导入到文件,例如:keytool -export -alias 别名 -file 文件名.crt -file 参数指定导出到文件的文件名 -delete 删除密钥库中某条目,例如:keytool -delete -alias 别名 -keystore sage -keypasswd 修改密钥库中指定条目口令,例如:keytool -keypasswd -alias 别名 -keypass ... -new ... -storepass -keystore 别名 -import 将已签名的数字证书导入密钥库,例如:keytool -import -alias 别名 -keystore 证书名 -file 文件名(可以加.crt 后缀)
命令:
生成证书:
keytool -genkey -keystore 文件名(可包含路径) -keyalg rsa -alias 别名 -validaty 有效期
查看证书:
keytool -list -v -keystore 路径
把证书导入到文件:
keytool -export -alias 别名 -keystore 证书名 -rfc -file 文件名(可包含路径)
修改密码:
keytool -keypasswd -alias 别名 -keypass 旧密码 -new 新密码
导出证书到新的TrustStore:
keytool -import -alias 别名 -file 文件名 -keystore truststore
按win键+R,弹出运行窗口,输入 cmd 回车,打开命令行窗户,输入如下命令:
keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -keypass 111111 -validity 365 -keystore .keystore -storepass 111111
按要求输入相关参数,在是否正确时输入 y ,即可。
缺省情况下,-list 命令打印证书的 MD5 指纹。而如果指定了 -v 选项,将以可读格式打印证书,如果指定了 -rfc 选项,将以可打印的编码格式输出证书。
-v 命令如下:
keytool -list -v -keystore .keystore -storepass 111111
-rfc 命令如下:
keytool -list -rfc -keystore .keystore -storepass 111111
导出证书命令:
导出CRT(客户端认证的证书、私钥。):
keytool -export -alias tomcat -keystore .keystore -file tomcat.crt -storepass 111111
导出CER(用于存储公钥证书的文件格式):
keytool -selfcert -alias tomcat -keystore .keystore -storepass 111111 keytool -export -alias tomcat -keystore .keystore -rfc -file tomcat.cer -storepass 111111
查看导出的证书信息:
keytool -printcert -file tomcat.crt
查看CER命令一样。
生成tomcat.cer证书文件。将该文件发给使用者,让他们安装该证书,并将证书安装在“受信任的根证书颁发机构”区域中。
具体的操作步骤可以参照铁道部12306.cn网站证书的安装步骤。
打开server.xml 找到SSL HTTP/1.1 Connector那一块,取消注释并将它改成:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass="111111" clientAuth="false" sslProtocol="TLS" />
这里将tomcat的端口改成80,相应的,https的端口也改成443(即默认的https端口)。
提示:
生成证书的时候,“您的名字与姓氏是什么” 一定要注意输入你的ip、机器名、域名,总之,你希望以后通过https://xx来访问你的网站的话,此处就要填写xx。否则,会有证书不受信的提示。
Java小强
未曾清贫难成人,不经打击老天真。
自古英雄出炼狱,从来富贵入凡尘。
发表评论: