如何利用keytool工具生成数字证书

Java制作证书的工具keytool用法总结一、keytool的概念keytool是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书，用于（通过数字签名）自我认证（用户向别的用户/服务认证自己）或数据完整性以及认证服务。在JDK1.4以后的版本中都包含了这一工具，它的位置为%JAVA_HOME%\bin\keytool.ex二、keytool的用法三、创建证书创建证书主要是使用"-genkeypair"，该命令的可用参数如下：范例：生成一个名称为test1的证书Cmd代码1keytool-genkeypair-alias"test1"-keyalg"RSA"-keystore"test.keystore"功能：创建一个别名为test1的证书，该证书存放在名为test.keystore的密钥库中，若test.keystore密钥库不存在则创建。参数说明：-genkeypair：生成一对非对称密钥-alias：指定密钥对的别名，该别名是公开的-keyalg：指定加密算法，本例中的采用通用的RAS加密算法-keystore:密钥库的路径及名称，不指定的话，默认在操作系统的用户目录下生成一个".keystore"的文件

2. 生成Root CA私钥与证书：2.1 先生成RootCA私钥--》使用私钥生成CSR--》生成自签名根证书。用来给二级CA证书签名。3. 生成二级CA 私钥与证书：（假如有两个二级CA， 分别负责管理服务器端和客户端证书）3.1 先生成ServerCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给服务器证书签名。3.2 先生成ClientCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给客户端证书签名。4. 生成服务器端与客户端的私钥与证书：4.1 先生成ServerA私钥--》使用私钥生成CSR--》使用ServerCA证书签名生成三级证书。4.2 先生成ClientA私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成三级证书。4.3 先生成ClientB私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成三级证书。。。。可以生成N个客户端证书证书结构：RootCA||-------ServerCA| || |--------ServerA||-------ClientCA||--------ClientA||--------ClientB||--------...|5. 导出RootCA的根证书、服务器端和客户端的私钥和证书。导出时都使用pem格式。RootCA.pem-------根证书（PEM ）ServerA.pem------服务器端证书（PEM with Certificate chain）ClientA.pem------客户端证书（PEM with Certificate chain）ClientB.pem------客户端证书（PEM with Certificate chain）ServerAKey.pem------服务器端私钥（PEM ）ClientAKey.pem------客户端私钥（PEM ）ClientBKey.pem------客户端私钥（PEM ）6.下面是最重要的一步：生成需要使用的JKS文件。keytool工具不能导入私钥，需要利用到weblogic 提供的一个工具，需要把weblogic.jar加到CLASSPATH。6.1 生成服务器和客户端的信任证书库：keytool -import -alias rootca -file RootCA.pem -keystore trust.jks6.2 生成服务器端身份密钥库：java utils.ImportPrivateKey -keystore servera.jks -storepass 123456 -storetype JKS -keypass 123456 -alias servera -certfile ServerA.pem -keyfile ServerAKey.pem6.3 生成客户端身份密钥库：java utils.ImportPrivateKey -keystore clienta.jks -storepass 123456 -storetype JKS -keypass 123456 -alias clienta -certfile ClientA.pem -keyfile ClientAKey.pem ...生成其他客户端身份密钥库7. keytool -list -v -keystore clienta.jks (servera.jks) 可以查看其中的证书链关系。

---