JKS 文件是一个 Java 中的密钥管理库。
JKS 文件就像一个仓库,可以放很多的东西(密钥)。
- 仓库当然会有一把锁(JKS 文件的密码),防范别人随便乱拿。
- 仓库里面存放的密钥也各有不同,每个密钥都有一个名字(别名)。
- 密钥对包含公钥和私钥。公钥只要能进入仓库就可以查看,私钥则是有密码的,只允许有权限的人查看。
Keytool 是一个 JAVA 环境下的安全钥匙与证书的管理工具。
Keytool 将密钥(key)和证书(certificates)存在一个称为 keystore 的文件(受密码保护)中。
在 keystore 里,包含两种数据:
- 密钥实体(Key entity)——密钥(secretkey)又或者是私钥和配对公钥(采用非对称加密)
- 可信任的证书实体(trustedcertificate entries)——只包含公钥
生成 JKS 文件
keytool -genkeypair -keyalg RSA -keysize 1024 -validity 365 -dname "CN=spdb, OU=spdb,O=spdb, L=shanghai, ST=shanghai, C=CN" -alias csii_key -keypass 888888 -keystore csii.jks -storepass 123456
会在当前目录下生成 csii.jks 文件
CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称),ST=(州或省份名称), C=(国家名称)
keytool -genkeypair -help keytool -genkeypair [OPTION]... 生成密钥对 选项: -alias <alias> 要处理的条目的别名 -keyalg <keyalg> 密钥算法名称 -keysize <keysize> 密钥位大小 -sigalg <sigalg> 签名算法名称 -destalias <destalias> 目标别名 -dname <dname> 唯一判别名 -startdate <startdate> 证书有效期开始日期/时间 -ext <value> X.509 扩展 -validity <valDays> 有效天数 -keypass <arg> 密钥口令 -keystore <keystore> 密钥库名称 -storepass <arg> 密钥库口令 -storetype <storetype> 密钥库类型 -providername <providername> 提供方名称 -providerclass <providerclass> 提供方类名 -providerarg <arg> 提供方参数 -providerpath <pathlist> 提供方类路径 -v 详细输出 -protected 通过受保护的机制的口令 使用 "keytool -help" 获取所有可用命令
读取 JKS 文件信息
keytool -list -v -keystore csii.jks -storepass 123456
导出 JKS 公钥到文件中
keytool -export -alias csii_key -keystore csii.jks -storepass 123456 -file csii.cer
会生成 csii.cer 文件
将公钥导入客户端密钥库中
keytool -import -alias csii_key -file csii.cer -keystore csii_pub.jks -storepass 123456
会生成 csii_pub.jks 文件
使用
import java.io.File; import java.io.FileInputStream; import java.io.InputStream; import java.nio.charset.StandardCharsets; import java.security.KeyStore; import java.security.PrivateKey; import java.security.PublicKey; import java.security.Signature; import org.junit.Test; public class AppTest { @Test public void test2() throws Exception { // 使用私钥签名 File certJks = new File("D:\test\logs\cert.jks"); String alias = "moco"; String storePass = "mocohttps"; String keyPass = "mocohttps"; try (InputStream is = new FileInputStream(certJks)) { KeyStore keyStore = KeyStore.getInstance("JKS"); keyStore.load(is, storePass.toCharArray()); PrivateKey pk = (PrivateKey) keyStore.getKey(alias, keyPass.toCharArray()); Signature dsa = Signature.getInstance("MD5withRSA"); dsa.initSign(pk); String data = "将中国加密"; dsa.update(data.getBytes(StandardCharsets.UTF_8)); byte[] sig = dsa.sign(); String hexStr = bytesToHexString(sig); System.out.println(hexStr); // 使用公钥验签 PublicKey pubKey = keyStore.getCertificate(alias).getPublicKey(); Signature dsa1 = Signature.getInstance("MD5withRSA"); dsa1.initVerify(pubKey); dsa1.update(data.getBytes(StandardCharsets.UTF_8)); byte[] _sig = hexStringToBytes(hexStr); System.out.println(dsa1.verify(_sig)); } } public String bytesToHexString(byte[] src) { StringBuilder stringBuilder = new StringBuilder(""); if (src == null || src.length <= 0) { return null; } for (int i = 0; i < src.length; i++) { int v = src[i] & 0xFF; String hv = Integer.toHexString(v); if (hv.length() < 2) { stringBuilder.append(0); } stringBuilder.append(hv); } return stringBuilder.toString(); } public byte[] hexStringToBytes(String hexString) { if (hexString == null || hexString.equals("")) { return null; } hexString = hexString.toUpperCase(); int length = hexString.length() / 2; char[] hexChars = hexString.toCharArray(); byte[] d = new byte[length]; for (int i = 0; i < length; i++) { int pos = i * 2; d[i] = (byte) (charToByte(hexChars[pos]) << 4 | charToByte(hexChars[pos + 1])); } return d; } private byte charToByte(char c) { return (byte) "0123456789ABCDEF".indexOf(c); } }
RSA生成密钥对及加密解密
import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.ObjectInputStream; import java.io.ObjectOutputStream; import java.nio.file.Files; import java.nio.file.Paths; import java.security.Key; import java.security.KeyPair; import java.security.KeyPairGenerator; import java.security.SecureRandom; import javax.crypto.Cipher; import com.creval.common.utils.SystemPath; import sun.misc.BASE64Decoder; import sun.misc.BASE64Encoder; /** * 该算法于1977年由美国麻省理工学院MIT(Massachusetts Institute of Technology) 的Ronal * Rivest,Adi Shamir和Len Adleman三位年轻教授提出,并以三人的姓氏 * Rivest,Shamir和Adlernan命名为RSA算法,是一个支持变长密钥的公共密钥算法, 需要加密的文件快的长度也是可变的! * 所谓RSA加密算法,是世界上第一个非对称加密算法,也是数论的第一个实际应用。它的算法如下: * 1.找两个非常大的质数p和q(通常p和q都有155十进制位或都有512十进制位) 并计算n=pq,k=(p-1)(q-1)。 * 2.将明文编码成整数M,保证M不小于0但是小于n。 3.任取一个整数e,保证e和k互质,而且e不小于0但是小于k。加密钥匙(称作公钥)是(e, n)。 * 4.找到一个整数d,使得ed除以k的余数是1(只要e和n满足上面条件,d肯定存在)。 解密钥匙(称作密钥)是(d, n)。 加密过程: * 加密后的编码C等于M的e次方除以n所得的余数。 解密过程: 解密后的编码N等于C的d次方除以n所得的余数。 只要e、d和n满足上面给定的条件。M等于N。 * * @author lenovo */ public class RSAEncrypt { /** 指定加密算法为DESede */ private String ALGORITHM = "RSA"; /** 指定key的大小 */ private int KEYSIZE = 1024; /** 指定公钥存放文件 */ private final String PUBLIC_KEY_FILE = Paths.get(SystemPath.sysPath, "PublicKey").toString(); /** 指定私钥存放文件 */ private final String PRIVATE_KEY_FILE = Paths.get(SystemPath.sysPath, "PrivateKey").toString(); /** * 生成密钥对 */ private void generateKeyPair() throws Exception { // 公钥与密钥都存在时不生成新的密钥对 if (Files.exists(Paths.get(PUBLIC_KEY_FILE)) && Files.exists(Paths.get(PRIVATE_KEY_FILE))) { return; } System.out.println("生成新的密钥对!"); /** RSA算法要求有一个可信任的随机数源 */ SecureRandom sr = new SecureRandom(); /** 为RSA算法创建一个KeyPairGenerator对象 */ KeyPairGenerator kpg = KeyPairGenerator.getInstance(ALGORITHM); /** 利用上面的随机数据源初始化这个KeyPairGenerator对象 */ kpg.initialize(KEYSIZE, sr); /** 生成密匙对 */ KeyPair kp = kpg.generateKeyPair(); /** 得到公钥 */ Key publicKey = kp.getPublic(); /** 得到私钥 */ Key privateKey = kp.getPrivate(); /** 用对象流将生成的密钥写入文件 */ try (FileOutputStream out1 = new FileOutputStream(PUBLIC_KEY_FILE); ObjectOutputStream oos1 = new ObjectOutputStream(out1); FileOutputStream out2 = new FileOutputStream(PRIVATE_KEY_FILE); ObjectOutputStream oos2 = new ObjectOutputStream(out2);) { oos1.writeObject(publicKey); oos2.writeObject(privateKey); } catch (Exception e) { throw e; } } /** * 加密方法 source: 源数据 */ public String encrypt(String source) throws Exception { generateKeyPair(); /** 将文件中的公钥对象读出 */ try (FileInputStream in = new FileInputStream(PUBLIC_KEY_FILE); ObjectInputStream ois = new ObjectInputStream(in);) { Key key = (Key) ois.readObject(); /** 得到Cipher对象来实现对源数据的RSA加密 */ Cipher cipher = Cipher.getInstance(ALGORITHM); cipher.init(Cipher.ENCRYPT_MODE, key); byte[] b = source.getBytes(); /** 执行加密操作 */ byte[] b1 = cipher.doFinal(b); BASE64Encoder encoder = new BASE64Encoder(); return encoder.encode(b1); } catch (Exception e) { throw e; } } /** * 解密算法 cryptograph:密文 */ public String decrypt(String cryptograph) throws Exception { /** 将文件中的私钥对象读出 */ try (FileInputStream in = new FileInputStream(PRIVATE_KEY_FILE); ObjectInputStream ois = new ObjectInputStream(in);) { Key key = (Key) ois.readObject(); /** 得到Cipher对象对已用公钥加密的数据进行RSA解密 */ Cipher cipher = Cipher.getInstance(ALGORITHM); cipher.init(Cipher.DECRYPT_MODE, key); BASE64Decoder decoder = new BASE64Decoder(); byte[] b1 = decoder.decodeBuffer(cryptograph); /** 执行解密操作 */ byte[] b = cipher.doFinal(b1); return new String(b); } catch (Exception e) { throw e; } } public static void main(String[] args) throws Exception { String source = null;// 要加密的字符串 if (args != null && args.length > 0) { source = args[0]; } else { System.out.println("用法:java com.creval.modules.dft.util.RSAEncrypt "需要加密的字符串""); return; } RSAEncrypt rsa = new RSAEncrypt(); System.out.println(); System.out.println("加密后密文:"); String cryptograph = rsa.encrypt(source);// 生成的密文 System.out.println(cryptograph); System.out.println("密文长度: " + cryptograph.length()); System.out.println(); System.out.println("解密后明文:"); String target = rsa.decrypt(cryptograph);// 解密密文 System.out.println(target); } }
https://my.oschina.net/lhplj/blog/1603887
https://docs.oracle.com/javase/8/docs/technotes/guides/security/StandardNames.html#KeyPairGenerator
https://www.hutool.cn/docs/#/crypto/%E9%9D%9E%E5%AF%B9%E7%A7%B0%E5%8A%A0%E5%AF%86-AsymmetricCrypto
https://gitee.com/jhxxb/MyOauth2/tree/master/AuthorizationServer/src/test/java/security