使用Keytool为JDK添加https证书信任

在浏览器中访问是件挺方便的事 与访问站点相比 也就是地址栏上多个 s 但是 在java平台上访问 可就麻烦多了 Java虚拟机并不直接使用 *** 作系统的key ring 而是有自己的security manager 与 *** 作系统类似 jdk的security manager默认有一堆的根证书信任 如果你的站点证书是花钱申请的 被这些根证书所信任 那使用java来访问此站点会非常方便 但假如 你的证书是自己签名的 就需要将证书导入至JDK的信任证书中 否则访问时会报SSL错误 假如 你的webserice是基于来进行访问 而此站点证书是自签名类型的 那么部署时一定要使用keytool进行证书导入 否则无法正常访问     JDK keystore存放路径         默认在 $JAVA_HOME/jre/lib/security/cacerts 在我的Mountaion Lion中 存放路径为         /System/Library/Java/JavaVirtualMachines/ jdk/Contents/Home/lib/security/cacerts        keystore的默认密码        changeit         有人说OS X中java的 Keystore密码被更改成了 changeme 所以如果你用上面那个访问失败 可以试试这个         keytool乱码        keytool在OS X中经常显示为乱码 它在中文OS X中输出GB 编码 所以要将terminal的默认编码更改成GB 或者中文（ECU）

    导入证书        首先 先通过浏览器将证书下载下来 点击显示证书详细的时候 直接将图标拖动到桌面上即可

    通过keytool命令来导入证书 注意导入时需要管理员权限 所以命令前面要加sudo 不知道这个在win 系统上是不是也要如此 lishixinzhi/Article/program/Java/hx/201311/27119

把安全证书导入到java中的cacerts证书库步骤：

1、先下载证书，然后使用命令导入

2、详细信息复制到文件。

3、点击下一步：

4、点击浏览选择路径保存

5、定义命名

6、保存成功

7、然后执行导入 *** 作，Windows下执行开始 >> 运行 >> 输入cmd 进入dos命令行 >>

Linux直接执行命令即可（注意，事先需要配置好环境变量）

执行命令：

keytool -import -alias ${certificate_name} -keystore "%JRE_HOME%/lib/security/cacerts -file "${file_path}/${file_name}.cer" -trustcacerts

（注意keytool是JDK自带的一个工具集，如果没有配置好环境变量会提示keytool不能识别）

如我的是windows环境，JRE位于C:\Program Files\Java\jdk1.6.0_16\jre，证书文件放在d盘根目录，则我需要执行的命令是

keytool -import -alias kedou -keystore "C:/Program Files/Java/jdk1.6.0_16/jre/lib/security/cacerts" -file "d:/kedou.cer" -trustcacerts

这时候需要输入JRE的keystore的密码，默认密码是changeit

然后会提示你是否信任，回复Y即可

再回车，这时候你的证书已经被加入到证书库里面了！

图解如下：

已经完成了证书的导入。

Keytool 是安全钥匙与证书的管理工具 它管理一个存储了私有钥匙和验证相应公共钥匙的与它们相关联的X 证书链的keystore(相当一个数据库)

Keytool 是一个有效的安全钥匙和证书的管理工具 它能够使用户使用数字签名来管理他们自己的私有/公共钥匙对 管理用来作自我鉴定的相关的证书 管理数据完整性和鉴定服务 它还能使用户在通信时缓存它们的公共钥匙

一个证书是某一实体(个人 公司等)的数字签名 指出其他实体的公共钥匙(或其他信息)的详细的值 当数据被签名后 这个签名信息被用来检验数据的完整性和真实性 完整性指数据没有被修改和篡改 真实性指数据从任何产生和签名的一方真正的传输到达

Keytool 把钥匙和证书储存到一个keystore 默任的实现keystore的是一个文件 它用一个密码保护钥匙

而另外的一个工具jarsigner用keystore中的信息产生或检验Java aRchive(jar文件)中的数字签名

Keystore有两个不同的入口:

钥匙入口:保存了非常敏感的加密的钥匙信息 并且是用一个保护的格式存储以防止未被授权的访问 以这种形式存储的钥匙是秘密钥匙 或是一个对应证书链中公有钥匙的私有钥匙

信任证书入口:包含一个属于其他部分的单一公共钥匙证书 它之所以被称为 信任证书 是因为keystore信任的证书中的公共钥匙真正属于证书所有者的身份识别

Keystore的别名:

所有的keystore入口(钥匙和信任证书入口)是通过唯一的别名访问 别名是 不区分大小写的 如别名Hugo和hugo指向同一个keystore入口

可以在加一个入口到keystore的时候使用 genkey参数来产生一个钥匙对(公共钥匙和私有钥匙)时指定别名 也可以用 import参数加一个证书或证书链到信任证书

如:

keytool genkey alias duke keypass dukekeypasswd

其中duke为别名 dukekeypasswd为duke别名的密码 这行命令的作用是产生一个新的公共/私有钥匙对

假如你想修改密码 可以用:

keytool keypasswd alias duke keypass dukekeypasswd new newpass

将旧密码dukekeypasswd改为newpass

Keystore的产生:

当使用 genkey 或 import或 identitydb命令添加数据到一个keystore 而当这个keystore不存在时 产生一个keystore 默认名是 keystore 存放到user home目录

当用 keystore指定时 将产生指定的keystore

Keystore的实现:

Keytool 类位于java security包下 提供一个非常好的接口去取得和修改一个keystore中的信息 目前有两个命令行:keytool和jarsinger 一个GUI工具Policy 可以实现keystore 由于keystore是公开的 用户可以用它写一些额外的安全应用程序

Keystore还有一个sun公司提供的内在实现 它把keystore作为一个文件来实现 利用了一个keystore类型(格式) JKS 它用单独的密码保护每一个私有钥匙 也用可能不同的密码保护整个keystore的完整性

支持的算法和钥匙大小:

keytool允许用户指定钥匙对和注册密码服务供应者所提供的签名算法 缺省的钥匙对产生算法是 DSA 假如私有钥匙是 DSA 类型 缺省签名算法是 SHA withDSA 假如私有钥匙是 RSA 类型 缺省算法是 MD withRSA

当产生一个DSA钥匙对 钥匙必须在 位之间 对任何算法的缺省钥匙大小是 位

证书:

一个证书是一个实体的数字签名 指出其他实体的公共钥匙有明确的值

公共钥匙 :是同一个详细的实体的数字关联 并有意让所有想同这个实体发生信任关系的其他实体知道 公共钥匙用来检验签名

数字签名:假如数据已被签名 并用身份存储在一个实体中 一个签名能够证明这个实体知道这个数据 这个数据用实体私有钥匙签名并递交

身份:知道实体的方法 在一些系统中身份是公共钥匙 其他系统中可以是从一个X 名字的邮件地址的Unix UID来的任何东西

签名:一个签名用用实体私有钥匙来计算某些加密数据

私有钥匙:是一些数字 每一个私有钥匙只能被特定的拥有该私有钥匙的实体知道 私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中 一个公共钥匙加密(如DSA) 一个私有钥匙与一个正确的公共钥匙通信 私有钥匙用来计算签名

实体:一个实体可以是一个人 一个组织 一个程序 一台计算机 一个商业 一个银行 或其他你想信任的东西

Keytool应用实例:

产生一个keystore:

keytool genkey alias User(keystore的别名) keyalg RSA validity keystore keystore(指定keystore)

运行这个命令 系统提示:

Enter keystore password:yourpassword(输入密码)

What is your first and last name?

[Unknown]: your name(输入你的名字)

What is the name of your anizational unit?

[Unknown]:your anizational(输入你所在组织单位的名字)

What is the name of your anization?

[Unknown]:your anization name (输入你所在组织的名字)

What is the name of your City or Locality?

[Unknown]:your city name(输入所在城市的名字)

What is the name of your State or Province?

[Unknown]:your provice name(输入所在省份名字)

What is the o letter country code for this unit?

[Unknown]:cn(输入国家名字)

Is CN=your name OU=your anizaion O= your anization name

L=your city name ST=your province name C=cn correct?

[no]: yes

检查一个keystore:

keytool list v keystore keystore

Enter keystore password:your password(输入密码)

将显示keystore内容如:

Keystore type: jks

Keystore provider: SUN

Your keystore contains entry

Alias name: yourname

Creation date: Dec

Entry type: keyEntry

Certificate chain length:

Certificate[ ]:

Owner: CN=yourname OU=your anization O= your anization name

L=your city name ST=your province name C=CN

Issuer: CN=Duke OU=Java Sofare O= Sun Microsystems Inc L=Palo Alto ST=CA C=US

Serial number: c adc

Valid from: Thu Dec : : PST until: Thu Dec : : PST

Certificate fingerprints:

MD : F : B: B:A :F : :CF: :CF:F :FF: : F: C: C:F

SHA : B : : :DD:B :CC: : : : : F: :AA:AF: A: D:E : : C:

输出keystore到一个文件:testkey:

keytool export alias duke keystore keystore rfc file testkey

系统输出:

Enter keystore password:your password(输入密码)

Certificate stored in file

输入证书到一个新的truststore:

keytool import alias dukecert file testkey keystore truststore

Enter keystore password:your new password (输入truststore新密码)

检查truststore:

keytool list v keystore truststore

系统将显示truststore的信息

现在可以用适当的keystore运行你的应用程序 如:

java ssl keyStore=keystore ssl keyStorePassword=password Server

和: java ssl trustStore=truststore

lishixinzhi/Article/program/Java/hx/201311/25684

---