jdk自帶的證書管理工具叫keytool游岳，在jdk/bin目錄下声邦，可以用來生成自簽名證書、導(dǎo)入導(dǎo)出證書与学、打印證書信息等。

1. 名詞

自簽名證書：用自己的私鑰簽發(fā)自己的公鑰即主體信息生成的證書嘉抓。
證書簽名：對(duì)證書固定值進(jìn)行hash后用密鑰對(duì)中的私鑰對(duì)hash值加密
keystore:  keytool生成證書的存儲(chǔ)庫索守，用來存儲(chǔ)若干條目，每一條目包含公私鑰抑片，主體信息等卵佛。默認(rèn)為用戶目錄下.keystore,相當(dāng)于一個(gè)有密碼保護(hù)的文件。
truststore: 與keystore格式相同，但是為區(qū)分只用來存放信任的證書截汪，不存密鑰等信息疾牲。

der:證書編碼格式，證書結(jié)構(gòu)體轉(zhuǎn)換為二進(jìn)制格式衙解。
pem:證書編碼格式阳柔，對(duì)der二進(jìn)制編碼的base64字符,包含---begin---,----end----。// 命令中加-rfc可打印和生成此類文件
.csr:證書請(qǐng)求文件格式蚓峦，包含公鑰和主體信息舌剂，發(fā)給ca，ca用私鑰對(duì)內(nèi)容簽名并制作成證書返回暑椰。keytool在生成csr文件時(shí)需要指定證書（即公鑰與主體信息）霍转。
.crt:一般用于linux系統(tǒng)的證書格式，包含公鑰和主體信息一汽。
.cer:一般用于windows的證書文件格式避消，包含公鑰和主體信息。
.p12:證書交換格式召夹，包含公鑰私鑰（私用密碼加密）,用于交換傳輸岩喷。

2.具體使用

可以以一個(gè)完整例子來了解keytool命令。在socket或http協(xié)議傳輸數(shù)據(jù)時(shí)戳鹅，如需加密傳輸會(huì)話內(nèi)容，會(huì)在TCP上加上ssl/tls昏兆，http則改為https協(xié)議枫虏。此時(shí)服務(wù)端需要給客戶端提供證書以供客戶端驗(yàn)證并協(xié)商會(huì)話密鑰，如果沒有正規(guī)CA簽發(fā)的證書爬虱，則需自簽名隶债。

客戶端用簽發(fā)證書的根證書驗(yàn)證，如果是自簽名一級(jí)證書跑筝，則客戶端需內(nèi)置此自簽名證書死讹，如果是自簽名二級(jí)證書，則用簽發(fā)它的跟證書驗(yàn)證

• 生成自簽名證書

keytool -genkeypair -alias golove -keysize 2048 -keyalg RSA -validity 3650 -keystore teststore.jks -storetype JKS

• genkeypair：生成公私鑰對(duì)條目曲梗，私鑰不可見赞警，公鑰會(huì)以證書格式保存在keystore中。
• alias: 指定別名虏两，區(qū)分不同條目愧旦，默認(rèn)mykey
• keysize: 密鑰長度
• keyalg: 公私鑰算法
• validity: 證書過期時(shí)間
• keystore: 指定存儲(chǔ)密鑰庫，若不存在會(huì)創(chuàng)建定罢，若指定則在當(dāng)前文件夾下生成笤虫。默認(rèn)密鑰庫為用戶目錄下.keystore文件
• storetype: 密鑰庫類型 JKS PKCS等

輸入密鑰庫密碼和本條目密碼都為123456，以及其他主體信息會(huì)生成密鑰對(duì)保存在teststore.jks中。公鑰以證書格式保存琼蚯，帶有主體信息酬凳。此時(shí)證書庫中可以看到公鑰信息（私鑰無法打印)

第一條主體信息：您的姓名與姓氏中填入服務(wù)器域名的完整信息而非name，如：www.golove.com遭庶。

• 導(dǎo)出自簽名證書

// 如果要生成pem編碼格式的證書直接加上 -rfc參數(shù)即可,證書詳細(xì)信息格式用 -v
keytool -export -alias golove -keystore teststore.jks -file golove.crt

現(xiàn)在可以將此證書分發(fā)給客戶端了宁仔，客戶端做相應(yīng)配置，驗(yàn)證域名或直接跳過驗(yàn)證(因?yàn)槭怯盟陨砉€驗(yàn)證罚拟，不能保證安全性台诗，一般默認(rèn)信任)，使用此證書與服務(wù)端交換隨機(jī)數(shù)赐俗。

接下來稍微了解下keystore內(nèi)容并生成一個(gè)跟證書來簽發(fā)二級(jí)證書拉队。

• 查看keystore中證書條目列表

keytool -list -v -keystore teststore.jks

1.png

再看下剛才根據(jù)此條目導(dǎo)出的自簽證書,導(dǎo)出后已經(jīng)包含了公鑰等其他信息形成了完整證書，但注意verifiedby字段還是自己

3.png

• 生成證書簽名請(qǐng)求（CSR文件）

keytool -certreq -alias golove -keystore teststore.jks -file temp_go_love.csr

用keystore中g(shù)olove條目生成了證書簽名請(qǐng)求文件temp_go_love.csr阻逮，內(nèi)包含golove條目的公鑰和主體信息粱快，將證書簽名請(qǐng)求文件發(fā)給正規(guī)CA,CA用私鑰對(duì)公鑰和信息簽名后制作成證書文件返回就可以使用了。正規(guī)CA的公鑰瀏覽器內(nèi)置叔扼，所以此時(shí)瀏覽器可以驗(yàn)簽名成功事哭。

但我們要自己模擬CA簽發(fā)二級(jí)證書,CA也是要有公私鑰對(duì)，所以先生成CA密鑰對(duì)瓜富。

• 生成一個(gè)自簽名證書作為CA根證書,名字與姓氏選項(xiàng)這里填入root

keytool -genkeypair -alias rootca -keysize 2048 -keyalg RSA -validity 3650 -keystore teststore.jks -storetype JKS

-使用CA證書給golove證書簽名鳍咱，即用CA的私鑰簽名后與golove的公鑰生成一個(gè)證書

keytool -gencert -alias rootca -keystore teststore.jks -infile temp_go_love.csr -outfile golove_new.crt

此時(shí)已經(jīng)生成了一個(gè)golove_new.crt的二級(jí)證書，以文件形式打開golove.crt和golove_new.crt兩個(gè)證書文件對(duì)比下內(nèi)容与柑。
golove.crt:

3.png

golove_new.crt:

4.png

可以看到簽發(fā)者已經(jīng)變成root,公鑰等其他信息不變谤辜，但簽名值變了，說明已經(jīng)用新的私鑰(root私鑰)替換原有(golove)簽名,在證書信任連上序號(hào)為2价捧，此即二級(jí)證書丑念。

• 將二級(jí)證書導(dǎo)回teststore庫中，并且直接替換原有別名為golove的條目

keytool -import -v -alias golove -file golove_new.crt -keystore teststore.jks

再次打印證書庫中條目列表可以看到別名為golovet的條目證書鏈變?yōu)?结蟋，發(fā)布者變?yōu)閞oot.

5.png

此時(shí)可以將root證書導(dǎo)出給客戶端內(nèi)置脯倚，服務(wù)端綁定二級(jí)證書，這樣客戶端驗(yàn)證時(shí)可以用根證書驗(yàn)證二級(jí)證書嵌屎。其實(shí)大部分程序直接使用一級(jí)的自簽名證書即可推正，但若需要雙向驗(yàn)證，服務(wù)端驗(yàn)證客戶端時(shí)不同客戶端最好使用服務(wù)端的rootca私鑰來簽發(fā)宝惰，這樣服務(wù)端可以直接用一個(gè)rootca的證書驗(yàn)證舔稀。實(shí)現(xiàn)了動(dòng)態(tài)擴(kuò)展且客戶端的證書不同。
-為了區(qū)分teststore掌测，可以新建一個(gè)只放信任證書内贮，不存儲(chǔ)密鑰的倉庫产园。將剛才的rootca證書和golove二級(jí)證書導(dǎo)入一個(gè)新倉庫(如果為了方便，也可以直接用一個(gè)密鑰庫夜郁，不需要此庫)

// 從teststore導(dǎo)出rootca證書
keytool -export -alias rootca -keystore teststore.jks -file rootca.crt
// 導(dǎo)入rootca證書到新庫
keytool -import -v -file rootca.crt -alias rootca -keystore truststore.jks
// 導(dǎo)入golove證書到新庫
keytool -import -v -file golove_new.crt -alias golove -keystore truststore.jks

keytool 常用命令：

// 以rfc模式打印什燕，即base64可見字符，與pem編碼格式一樣竞端。 -v為詳細(xì)輸出
keytool -printcert -rfc -file rootca.ctr  
// 查看證書庫中證書條目列表 詳細(xì)信息
keytool -list -v -keystore teststore.jks
// 將證書庫中的條目導(dǎo)出為證書文件,如要生成可見字符編碼格式的證書文件 加上 -rfc 參數(shù)即可屎即。
keytool -export -alias rootca -keystore teststore.jks -file rootca.ctr
// 刪除密鑰庫中的條目 
keytool -delete -alias rootca -keystore teststore.keystore
// 修改證書庫密碼,輸入舊密碼或加參數(shù) -storepass 111111
keytool -storepasswd -new 123456 -keystore truststore 
// 修改某條目密碼
keytool -keypasswd -alias myCA -keypass 654321 -new newpass -storepass 123456 -keystore myCALib

還有一個(gè)問題，keytool不能打印出密鑰對(duì)中的私鑰事富，用-list查看密鑰庫列表也沒有完整的私鑰信息技俐。要獲取私鑰，可以在java程序中加載密鑰庫统台，用jdk KeyStore類的相關(guān)方法獲取到公私鑰信息雕擂，然后做加解密的驗(yàn)證等。

有不對(duì)的地方請(qǐng)指出...