JAVA Keytool命令詳解

本文**：

keytool 是用於管理金鑰和證書的工具，使使用者和管理員能管理自己的公 / 私鑰對以及相關的證書。

— genkey ，用於生成公 / 私金鑰對

keytool –genkey –alias mykey –keyalg rsa –keypass 123456 –keystore keystore.jks –storepass 123456

ˉkeyalg: 指定金鑰使用的加密演算法（如 rsa ）。還可以使用選項 keysize 指定金鑰的長度，如果沒有指定長度，那麼 keytool 將使用預設值 ———1024 位。

ˉkeypass: 指定生成金鑰的密碼。

ˉkeystore: 指定儲存金鑰的金鑰庫的名稱（二進位制檔案），如果沒有指定，那麼將建立乙個新的金鑰庫，並將其儲存為 .keystore 檔案。

ˉstorepass: 指定訪問金鑰庫的密碼。金鑰庫建立後，要對其做任何修改都必須提供該密碼，以便訪問金鑰庫。

在執行 -genkey 時還會要求使用者輸入以下幾項資料

cn ： commen name

ou ： organization unit

o ： organization

l ： location

st ： state

c: country

其中 cn 伺服器根證書的 ip 或者網域名稱，即檢視證書時的頒發給項

— list

用於列出金鑰庫中全部的項，以及檢視與別名相關的項。

keytool –list –keystore keystore.jks

為了顯示別名所指定的金鑰庫項的內容，命令 list 可以輸出證書的 md5 指紋。如果指定了選項 ˉv ，則證書將以人類可讀的格式顯示 ; 如果指定了選項 ˉrfc ，則將以 base64 編碼格式顯示證書。

— import

匯入可信證書。 keytool 選項 ˉimport 用於將可信證書匯入金鑰庫，並將其同唯一的乙個別名聯絡起來。如果客戶端信任通訊等對體的證書，並希望與其進行可信的客戶端互動，則可以在客戶端環境中匯入可信證書。

將新證書匯入金鑰庫時， keytool 工具將驗證該證書的完整性和真實性。為此， keytool 工具將構建一條以該證書開始到頒發者的自簽名證書結束的信任鏈。可信證書的列表將儲存在 cacerts 檔案中。

要將證書匯入金鑰庫，則需要提供標識證書項的唯一別名和金鑰密碼。

例如，下面的命令從檔案 cert.cer 中將乙個證書項匯入到金鑰庫 keystore.jks ，並將該證書項標識為 newcert，最後，該命令將顯示證書的持有者和頒發者的資訊，並詢問使用者是否信任該證書。

keytool –import –alias newcert –file cert.cer –keystore keystore.jks

— printcert

顯示證書的資訊。 keytool 選項 ˉprintcert 用於顯示已從金鑰庫中匯出並儲存為檔案的證書的資訊。由於證書的資訊是以證書檔案（ .cer ）的形式儲存的，且不會匯入金鑰庫，因此在執行該命令時，不需要指定相關的金鑰庫和密碼。

keytool –printcert –file cert.cer

— certreq

建立證書簽發請求（ csr ）。可以使用 keytool 選項 ˉcertreq 來生成向 ca 申請證書的證書簽發請求。

keytool –certreq –keystore keystore.jks –file mycsr.csr

— delete

刪除金鑰庫。要刪除金鑰庫，可以使用作業系統的刪除命令來刪除該金鑰庫檔案。

修改金鑰庫的密碼。

— storepasswd

要修改金鑰庫的密碼，可以使用 keytool 選項 -storepasswd -new 來設定新密碼。

keytool –storepasswd –new newpassword –keystore keystore.jks