keytool 是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务。它还允许用户储存他们的通信对等者的公钥(以证书形式)。
keytool 将密钥和证书储存在一个所谓的密钥仓库中。缺省的密钥仓库实现将密钥仓库实现为一个文件。它用口令来保护私钥。
1.使用 -genkey
改参数是用来生成秘钥对。格式如下:keytool -genkey -alias duke -keypass mypassword
2. -genkeypair
创建证书库(keystore)及证书(Certificate)
Keytool -genkeypair -alias test.mydomain.com -keyalg RSA -keysize 2048 -keypass mypassword -sigalg SHA256withRSA -dname "CN=test.mydomain.com,OU=test,O=test,L=beijing,C=CN" -validity 5475 -keystore D:\test.mydomain.com -keystore.p12 -storetype PKCS12-storepass mypassword
3. -certreq
生成证书请求(CSR),使用格式如下:
keytool -certreq -keyalg RSA -alias test.mydomain.com -keystore D:\test.mydomain.com_keystore.p12 -storetype PKCS12 -storepass mypassword -file D:\test.mydomain.com_certreq.csr
这样我们就可以吧生成的请求证书发给证书颁发机构去创建证书了。在完成证书申请后,会给我们三个文件:一级根证书,二级根证书和三级证书。我们还是要用keytool将颁发的证书合并到上面生成的P12文件中
keytool -import -trustcacerts -keystore D:\test.mydomain.com_keystore.p12 -storepass mypassword -alias root-file D:\root.cer(导入一级证书)
keytool -import -trustcacerts -keystore D:\test.mydomain.com_keystore.p12 -storepass mypassword -alias issuer-file D:\issuer.cer(导入二级证书)
keytool -import -trustcacerts -keystore D:\test.mydomain.com_keystore.p12 -storepass mypassword -companyroot-file D:\company.cer(导入三级证书)
4.遇到的问题
如果按照上面使用keytool -import将证书文件导入到P12文件中,你会遇到invalid keystore format,明明是正确的P12文件,为啥会报这样的错误呢。
我们在使用Keytoo -genkeypair的时候收使用参数-storetype指定为PCKS12的类型,我们在使用keytool -import的时候也要使用该数据就可以了,重新输入如下到CMD中就一切正常了。
keytool -import -trustcacerts -keystore D:\test.mydomain.com_keystore.p12 -storepass mypassword -storetype PKCS12 -alias root-file D:\root.cer(导入一级证书)
keytool -import -trustcacerts -keystore D:\test.mydomain.com_keystore.p12 -storepass mypassword -storetype PKCS12 -alias issuer-file D:\issuer.cer(导入二级证书)
keytool -import -trustcacerts -keystore D:\test.mydomain.com_keystore.p12 -storepass mypassword -storetype PKCS12 -companyroot-file D:\company.cer(导入三级证书)