keytool生成證書
驗證是否已創建過同名的證書
keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit
刪除已創建的證書
keytool -delete -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit
創建證書
1.服務器中生成證書:(注:生成證書時,CN要和服務器的域名相同,如果在本地測試,則使用localhost)
keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -
storepass changeit
2.導出證書,由客戶端安裝:
keytool -export -alias tomcat -keystore d:\mykeystore -file d:\mycerts.cer -storepass changeit
3.客戶端配置:爲客戶端的JVM導入密鑰(將服務器下發的證書導入到JVM中)
keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -file d:\mycerts.cer -storepass changeit
常出現的異常:“未找到可信任的證書”--主要原因爲在客戶端未將服務器下發的證書導入到JVM中,可以用
keytool -list -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit
來查看證書是否真的導入到JVM中。
Keytool是一個Java數據證書的管理工具。
keystore
Keytool將密鑰(key)和證書(certificates)存在一個稱爲keystore的文件中
在keystore裏,包含兩種數據:
密鑰實體(Key entity)——密鑰(secret key)又或者是私鑰和配對公鑰(採用非對稱加密)
可信任的證書實體(trusted certificate entries)——只包含公鑰
Alias(別名)
每個keystore都關聯這一個獨一無二的alias,這個alias通常不區分大小寫
keystore的存儲位置
在沒有制定生成位置的情況下,keystore會存在與用戶的系統默認目錄,
如:對於window xp系統,會生成在系統的C:\Documents and Settings\UserName\
文件名爲“.keystore”
keystore的生成
keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 180
參數說明:
-genkey表示要創建一個新的密鑰
-dname表示密鑰的Distinguished Names,
CN=commonName
OU=organizationUnit
O=organizationName
L=localityName
S=stateName
C=country
Distinguished Names表明了密鑰的發行者身份
-keyalg使用加密的算法,這裏是RSA
-alias密鑰的別名
-keypass私有密鑰的密碼,這裏設置爲changeit
-keystore 密鑰保存在D:盤目錄下的mykeystore文件中
-storepass 存取密碼,這裏設置爲changeit,這個密碼提供系統從mykeystore文件中將信息取出
-validity該密鑰的有效期爲 180天 (默認爲90天)
cacerts證書文件(The cacerts Certificates File)
改證書文件存在於java.home\lib\security目錄下,是Java系統的CA證書倉庫
創建證書
1.服務器中生成證書:(注:生成證書時,CN要和服務器的域名相同,如果在本地測試,則使用localhost)
keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit
2.導出證書,由客戶端安裝:
keytool -export -alias tomcat -keystore d:\mykeystore -file d:\mycerts.cer -storepass changeit
3.客戶端配置:爲客戶端的JVM導入密鑰(將服務器下發的證書導入到JVM中)
keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -file d:\mycerts.cer -storepass changeit
生成的證書可以交付客戶端用戶使用,用以進行SSL通訊,或者伴隨電子簽名的jar包進行發佈者的身份認證。
https站點密碼驗證使用弱口令:
現象:在Windows Vista上瀏覽一個被配置成使用弱密碼(40位/56位加密)的HTTPS站點時,顯示一個錯誤頁面。
原因:在Windows Vista中,默認已經關閉了弱密碼,僅開啓強密碼。
在生成證書選擇加密方式 RSA
解決辦法:對於訪問者沒有辦法解決,只能等待https站點管理員修改驗證使用的弱口令。
keytool生成根證書時出現如下錯誤:
keytool錯誤:java.io.IOException:keystore was tampered with,or password was incorrect
原因是在你的home目錄下是否還有.keystore存在。如果存在那麼把他刪除掉,後再執行
或者刪除"%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS 再執行