1、keytool - 密鑰和證書管理工具管理由私鑰和認(rèn)證相關(guān)公鑰的 X.509 證書鏈組成的密鑰倉(cāng)庫(kù)（數(shù)據(jù)庫(kù)）。還管理來自可信任實(shí)體的證書。結(jié)構(gòu)keytool 命令 說明keytool 是個(gè)密鑰和證書管理工具。它使用戶能夠管理自己的公鑰/私鑰對(duì)及相關(guān)證書，用于（通過數(shù)字簽名）自我認(rèn)證（用戶向別的用戶/服務(wù)認(rèn)證自己）或數(shù)據(jù)完整性以及認(rèn)證服務(wù)。它還允許用戶儲(chǔ)存他們的通信對(duì)等者的公鑰（以證書形式）。 證書是來自一個(gè)實(shí)體（個(gè)人、公司等）的經(jīng)數(shù)字簽名的聲明，它聲明某些其它實(shí)體的公鑰（及其它信息）具有某一的特定值（參見證書）。當(dāng)數(shù)據(jù)被數(shù)字化簽名后，校驗(yàn)簽名即可檢查數(shù)據(jù)的完整性和真實(shí)性。完整性的意思是數(shù)據(jù)沒有

2、被修改或損壞過，真實(shí)性的意思是數(shù)據(jù)的確是來自聲稱創(chuàng)建了該數(shù)據(jù)和對(duì)它進(jìn)行了簽名的實(shí)體。 keytool 將密鑰和證書儲(chǔ)存在一個(gè)所謂的密鑰倉(cāng)庫(kù)中。缺省的密鑰倉(cāng)庫(kù)實(shí)現(xiàn)將密鑰倉(cāng)庫(kù)實(shí)現(xiàn)為一個(gè)文件。它用口令來保護(hù)私鑰。 jarsigner 工具利用密鑰倉(cāng)庫(kù)中的信息來產(chǎn)生或校驗(yàn) Java 存檔 (JAR) 文件的數(shù)字簽名 （JAR 文件將類文件、圖象、聲音和/或其它數(shù)字化數(shù)據(jù)打包在一個(gè)文件中）。jarsigner 用 JAR 文件所附帶的證書（包含于 JAR 文件的簽名塊文件中）來校驗(yàn) JAR 文件的數(shù)字簽名，然后檢查該證書的公鑰是否“可信任”，即是否包括在指定的密鑰倉(cāng)庫(kù)中。 請(qǐng)注意：keytool 和 j

3、arsigner 工具完全取代了 JDK 1.1 中提供的 javakey 工具。這些新工具所提供的功能比 javakey 提供的多，包括能夠用口令來保護(hù)密鑰倉(cāng)庫(kù)和私鑰，以及除了能夠生成簽名外還可以校驗(yàn)它們。新的密鑰倉(cāng)庫(kù)體系結(jié)構(gòu)取代了 javakey 所創(chuàng)建和管理的身份數(shù)據(jù)庫(kù)。可以利用 -identitydb keytool 命令將信息從身份數(shù)據(jù)庫(kù)導(dǎo)入 密鑰倉(cāng)庫(kù)。 密鑰倉(cāng)庫(kù)項(xiàng)在密鑰倉(cāng)庫(kù)中有兩種不同類型的項(xiàng)： 1. 密鑰項(xiàng) - 每項(xiàng)存放極為敏感的加密密鑰信息，這種信息以一種受保護(hù)的格式儲(chǔ)存以防止未授權(quán)的訪問。通常，儲(chǔ)存在這類項(xiàng)中的密鑰是機(jī)密密鑰，或是伴有用于認(rèn)證相應(yīng)公鑰用的證書“鏈”的私鑰。ke

4、ytool 和 jarsigner 工具只處理后一類型的項(xiàng)，即私鑰及其關(guān)聯(lián)的證書鏈。 2. 可信任的證書項(xiàng) - 每項(xiàng)包含一個(gè)屬于另一團(tuán)體的公鑰證書。它之所以叫做“可信任的證書”，是因?yàn)槊荑€倉(cāng)庫(kù)的擁有者相信證書中的公鑰確實(shí)屬于證書“主體”（擁有者）識(shí)別的身份。證書簽發(fā)人通過對(duì)證書簽名來保證這點(diǎn)。 密鑰倉(cāng)庫(kù)使用的別名對(duì)所有的密鑰倉(cāng)庫(kù)項(xiàng)（密鑰項(xiàng)和可信任的證書項(xiàng)）的訪問都要通過唯一的別名來進(jìn)行。別名不區(qū)分大小寫，即別名 Hugo 和 hugo 指的是同一密鑰倉(cāng)庫(kù)項(xiàng)。 當(dāng)用 -genkey 命令來生成密鑰對(duì)（公鑰和私鑰）或用 -import 命令來將證書或證書鏈加到可信任證書的清單中，以增加一個(gè)實(shí)體到密

5、鑰倉(cāng)庫(kù)中，必須指定了一個(gè)別名。后續(xù) keytool 命令必須使用這一相同的別名來引用該實(shí)體。 例如，假設(shè)您用別名 duke 生成了新的公鑰/私鑰密鑰對(duì)并將公鑰用以下命令打包到自簽名證書中（參見證書鏈）： keytool -genkey -alias duke -keypass dukekeypasswd這指定了一個(gè)初始口令“dukekeypasswd”，接下來的命令都要使用該口令才能訪問與別名 duke 相關(guān)聯(lián)的私鑰。以后如果您想更改 duke 的 私鑰口令，可用類似下述的命令： keytool -keypasswd -alias duke -keypass dukekeypasswd -ne

6、w newpass這將把口令從“dukekeypasswd”改為“newpass”。 請(qǐng)注意：實(shí)際上，除非是作為測(cè)試目的或是在安全的系統(tǒng)上，否則不應(yīng)在命令行或腳本中指定口令。如果沒有在命令行上指定所要求的口令選項(xiàng)，您將會(huì)得到要求輸入口令的提示。當(dāng)在口令提示符下鍵入口令時(shí)，口令將被即時(shí)顯示出來（鍵入什么就顯示什么），因此，要小心，不要當(dāng)著任何人的面鍵入口令。密鑰倉(cāng)庫(kù)位置每個(gè) keytool 命令都有一個(gè) -keystore 選項(xiàng)，用于指定 keytool 管理的密鑰倉(cāng)庫(kù)的永久密鑰倉(cāng)庫(kù)文件名稱及其位置。缺省情況下，密鑰倉(cāng)庫(kù)儲(chǔ)存在用戶宿主目錄（由系統(tǒng)屬性的“user.home”決定）中名為 .key

7、store 的文件中。在 Solaris 系統(tǒng)中“user.home”缺省為用戶的宿主目錄。密鑰倉(cāng)庫(kù)的創(chuàng)建當(dāng)用 -genkey、-import 或 -identitydb 命令向某個(gè)尚不存在的密鑰倉(cāng)庫(kù)添加數(shù)據(jù)時(shí)，就創(chuàng)建了一個(gè)密鑰倉(cāng)庫(kù)。 具體地說，如果在 -keystore 選項(xiàng)中指定了一個(gè)并不存在的密鑰倉(cāng)庫(kù)，則該密鑰倉(cāng)庫(kù)將被創(chuàng)建。 如果不指定 -keystore 選項(xiàng)，則缺省密鑰倉(cāng)庫(kù)將是宿主目錄中名為 .keystore 的文件。如果該文件并不存在，則它將被創(chuàng)建。密鑰倉(cāng)庫(kù)實(shí)現(xiàn)java.security 包中提供的 KeyStore 類為訪問和修改密鑰倉(cāng)庫(kù)中的信息提供了相當(dāng)固定的接口?？梢杂卸鄠€(gè)

8、不同的具體實(shí)現(xiàn)，其中每個(gè)實(shí)現(xiàn)都是對(duì)某個(gè)特定類型的密鑰倉(cāng)庫(kù)的具體實(shí)現(xiàn)。 目前，有兩個(gè)命令行工具（keytool 和 jarsigner）以及一個(gè)名為 Policy Tool 的基于 GUI 的工具使用密鑰倉(cāng)庫(kù)實(shí)現(xiàn)。由于密鑰倉(cāng)庫(kù)是公用的，JDK 用戶可利用它來編寫其它的安全性應(yīng)用程序。 Sun Microsystems 公司提供了一個(gè)內(nèi)置的缺省實(shí)現(xiàn)。它利用名為“JKS” 的專用密鑰倉(cāng)庫(kù)類型（格式），將密鑰倉(cāng)庫(kù)實(shí)現(xiàn)為一個(gè)文件。它用個(gè)人口令保護(hù)每個(gè)私鑰，也用口令（可能為另一個(gè)口令）保護(hù)整個(gè)密鑰倉(cāng)庫(kù)的完整性。 密鑰倉(cāng)庫(kù)的實(shí)現(xiàn)基于提供者 (provider)。更具體地說，由密鑰倉(cāng)庫(kù)所提供的應(yīng)用程序接口是借

9、助于“服務(wù)提供者接口”(SPI) 來實(shí)現(xiàn)的。也就是說，在 java.security 包中還有一個(gè)對(duì)應(yīng)的抽象 KeystoreSpi 類，它定義了“提供者”必須實(shí)現(xiàn)的服務(wù)提供者接口方法。（術(shù)語(yǔ)“提供者”指的是一個(gè)或一組包，這個(gè)或這組包提供了一部份可由 Java 安全 API 訪問的服務(wù)子集的具體實(shí)現(xiàn)。因此，要提供某個(gè)密鑰倉(cāng)庫(kù)實(shí)現(xiàn)，客戶機(jī)必須實(shí)現(xiàn)一個(gè)“提供者”并實(shí)現(xiàn) KeystoreSpi 子類，如如何為 Java 加密體系結(jié)構(gòu)實(shí)現(xiàn) Provider 中所述。 通過使用 KeyStore 類中提供的“getInstance”工廠方法，應(yīng)用程序可從不同的提供者中挑選不同類型的密鑰倉(cāng)庫(kù)實(shí)現(xiàn)。密鑰倉(cāng)庫(kù)

10、類型定義密鑰倉(cāng)庫(kù)信息的存儲(chǔ)和數(shù)據(jù)格式，以及用于保護(hù)密鑰倉(cāng)庫(kù)中的私鑰和密鑰倉(cāng)庫(kù)自身完整性的算法。不同類型的密鑰倉(cāng)庫(kù)實(shí)現(xiàn)是不兼容的。 keytool 使用基于文件的密鑰倉(cāng)庫(kù)實(shí)現(xiàn) （它把在命令行中傳遞給它的密鑰倉(cāng)庫(kù)位置當(dāng)成文件名處理并將之轉(zhuǎn)換為文件輸入流，從該文件輸入流中加載密鑰倉(cāng)庫(kù)信息）。另一方面，jarsigner 和 policytool 工具可從任何可用 URL 指定的位置讀取某個(gè)密鑰倉(cāng)庫(kù)。 對(duì)于 keytool 和 jarsigner，可在命令行用 -storetype 選項(xiàng)指定密鑰倉(cāng)庫(kù)類型。對(duì)于 Policy Tool，可通過 “編輯”菜單中的“更改密鑰倉(cāng)庫(kù)”命令來指定密鑰倉(cāng)庫(kù)類型。 如

11、果沒有明確指定一個(gè)密鑰倉(cāng)庫(kù)類型，這些工具將只是根據(jù)安全屬性文件中指定的 keystore.type 屬性值來選擇密鑰倉(cāng)庫(kù)實(shí)現(xiàn)。安全屬性文件名為 java.security，它位于 JDK 安全屬性目錄 java.home/lib/security 中，其中 java.home 為 JDK 的安裝目錄。 每個(gè)工具都先獲取 keystore.type 的值，然后檢查所有當(dāng)前已安裝的提供者直到找到一個(gè)實(shí)現(xiàn)所要求類型的密鑰倉(cāng)庫(kù)的實(shí)現(xiàn)為止。然后就使用該提供者的密鑰倉(cāng)庫(kù)實(shí)現(xiàn)。 KeyStore 類定義了一個(gè)名為 getDefaultType 的靜態(tài)方法，它可讓應(yīng)用程序或 applet 檢索 keystor

12、e.type 屬性的值。以下代碼將創(chuàng)建缺省密鑰倉(cāng)庫(kù)類型（此類型由 keystore.type 屬性所指定。）的一個(gè)實(shí)例： KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType();缺省的密鑰倉(cāng)庫(kù)類型是“jks”（這是由“SUN”提供者提供的密鑰倉(cāng)庫(kù)實(shí)現(xiàn)的專用類型）。它在安全性屬性文件中由下行進(jìn)行指定： keystore.type=jks要讓工具使用不同于缺省類型的密鑰倉(cāng)庫(kù)實(shí)現(xiàn)，可更改此行，指定不同的密鑰倉(cāng)庫(kù)類型。 例如，如果您有一個(gè)這樣的提供者包，它給出一個(gè)名為“pkcs12”的密鑰倉(cāng)庫(kù)類型的密鑰倉(cāng)庫(kù)實(shí)現(xiàn)，則可將上面那

13、行改為： keystore.type=pkcs12注意：密鑰倉(cāng)庫(kù)類型的命名中大小寫無關(guān)緊要。例如，“JKS”將被認(rèn)為是與“jks”相同的。支持的算法和密鑰大小keytool 允許用戶指定任何注冊(cè)了的加密服務(wù)提供者所提供的密鑰對(duì)生成和簽名算法。也就是說，各種命令中的 keyalg 和 sigalg 選項(xiàng)必須得到提供者的實(shí)現(xiàn)的支持。缺省的密鑰對(duì)生成算法是“DSA”。簽名算法是從所涉及私鑰的算法推導(dǎo)來的：如果所涉及的私鑰是“DSA”類型，則缺省的簽名算法為“SHA1withDSA”，如果所涉及的私鑰是“RSA”類型，則缺省的簽名算法為“MD5withRSA”。 在生成 DSA 密鑰對(duì)時(shí)，密鑰大小的范

14、圍必須在 512 到 1024 位之間，且必須是 64 的倍數(shù)。缺省的密鑰大小為 1024 位。證書證書（也叫公鑰證書）是來自某個(gè)實(shí)體（簽發(fā)人）的經(jīng)數(shù)字簽名的聲明，它聲明另一實(shí)體（主體）的公鑰（及其它信息）具有某一特定的值。 下面詳細(xì)解釋本句中使用的主要術(shù)語(yǔ)： 公鑰 是與特定實(shí)體相關(guān)聯(lián)的數(shù)字。所有需要與該實(shí)體進(jìn)行信任交互的人都應(yīng)知道該數(shù)字。公鑰用于校驗(yàn)簽名。 經(jīng)數(shù)字簽名 如果某些數(shù)據(jù)經(jīng)數(shù)字簽名，說明它們已與某一實(shí)體的“身份”存儲(chǔ)在一起，而且證明該實(shí)體的簽名知道這些數(shù)據(jù)。通過用該實(shí)體的私鑰進(jìn)行繪制，這些數(shù)據(jù)就是不可偽造的了。 身份 用于聲明實(shí)體的一種手段。某些系統(tǒng)中，身份是公鑰，而在另一些系統(tǒng)中

15、則可以是 Unix UID、電子郵件地址或 X.509 特征名等等。 簽名 所謂簽名，就是用實(shí)體的（簽名人，在證書中也稱為簽發(fā)人）私鑰對(duì)某些數(shù)據(jù)進(jìn)行計(jì)算。 私鑰 是一些數(shù)字，每個(gè)數(shù)字都應(yīng)僅被以該數(shù)字作為私鑰的特定實(shí)體所知（即該數(shù)字應(yīng)保密）。在所有公鑰密碼系統(tǒng)中，私鑰和公鑰均成對(duì)出現(xiàn)。在 DSA 等具體的公鑰密碼系統(tǒng)中，一個(gè)私鑰只對(duì)應(yīng)一個(gè)公鑰。私鑰用于計(jì)算簽名。 實(shí)體 實(shí)體是您在某種程度上對(duì)其加以信任的個(gè)人、組織、程序、計(jì)算機(jī)、企業(yè)、銀行等。 通常，公鑰密碼系統(tǒng)需要訪問用戶的公鑰。在大型聯(lián)網(wǎng)環(huán)境中，并不能確保通信實(shí)體之間已經(jīng)預(yù)先建立起關(guān)系，也無法確保受信任的儲(chǔ)存庫(kù)與所用的公鑰都存在。于是人們發(fā)明

16、了證書作為公鑰分配問題的解決辦法。現(xiàn)在，認(rèn)證機(jī)構(gòu) (CA) 可充當(dāng)可信任的第三方。CA 是可信任的向其它實(shí)體簽名（發(fā)放）證書的實(shí)體（例如企業(yè)）。由于 CA 受法律協(xié)議約束，因此可認(rèn)為它們只提供可靠有效的證書。公共認(rèn)證機(jī)構(gòu)數(shù)量很多，例如 VeriSign、Thawte、Entrust 等等。您還可以使用諸如 Netscape/Microsoft Certificate Servers 或 Entrust CA 等產(chǎn)品來自己運(yùn)營(yíng)認(rèn)證機(jī)構(gòu)。 使用 keytool 可以顯示、導(dǎo)入和導(dǎo)出證書。還可以產(chǎn)生自簽名證書。 keytool 目前處理 X.509 證書。 X.509 證書X.509 標(biāo)準(zhǔn)規(guī)定了證書

17、可以包含什么信息，并說明了記錄信息的方法（數(shù)據(jù)格式）。除了簽名外，所有 X.509 證書還包含以下數(shù)據(jù)： 版本 識(shí)別用于該證書的 X.509 標(biāo)準(zhǔn)的版本，該版本影響證書中所能指定的信息。迄今為止，已定義的版本有三個(gè)。keytool 可導(dǎo)入和導(dǎo)出 v1、v2 和 v3 版的證書。它只能生成 v1 版證書。 序列號(hào) 發(fā)放證書的實(shí)體有責(zé)任為證書指定序列號(hào)，以使其區(qū)別于該實(shí)體發(fā)放的其它證書。此信息用途很多。例如，如果某一證書被撤消，其序列號(hào)將放到證書撤消清單 (CRL) 中。 簽名算法標(biāo)識(shí)符 用于標(biāo)識(shí) CA 簽名證書時(shí)所用的算法。 簽發(fā)人名稱 簽名證書的實(shí)體的 X.500 特征名。它通常為一個(gè) CA。

18、使用該證書意味著信任簽名該證書的實(shí)體。注意：有些情況下（例如根或頂層 CA 證書），簽發(fā)人會(huì)簽名自己的證書。 有效期 每個(gè)證書均只能在一個(gè)有限的時(shí)間段內(nèi)有效。該有效期以起始日期和時(shí)間及終止日期和時(shí)間表示，可以短至幾秒或長(zhǎng)至一世紀(jì)。所選有效期取決于許多因素，例如用于簽名證書的私鑰的使用頻率及愿為證書支付的金錢等。它是在沒有危及相關(guān)私鑰的條件下，實(shí)體可以依賴公鑰值的預(yù)計(jì)時(shí)間。 主體名 證書可以識(shí)別其公鑰的實(shí)體名。此名稱使用 X.500 標(biāo)準(zhǔn)，因此在Internet中應(yīng)是唯一的。它是實(shí)體的 X.500 特征名 (DN)，例如， CN=Java Duke, OU=Java Software Divis

19、ion, O=Sun Microsystems Inc, C=US（這些指主體的通用名、組織單位、組織和國(guó)家。） 主體公鑰信息 這是被命名實(shí)體的公鑰，同時(shí)包括指定該密鑰所屬公鑰密碼系統(tǒng)的算法標(biāo)識(shí)符及所有相關(guān)的密鑰參數(shù)。 X.509 1 版 1988 年發(fā)布，已得到廣泛使用，是最常用的版本。 X.509 2 版引入了主體和簽發(fā)人唯一標(biāo)識(shí)符的概念，以解決主體和/或簽發(fā)人名稱在一段時(shí)間后可能重復(fù)使用的問題。大多數(shù)證書監(jiān)視文檔都極力建議不要重復(fù)使用主體或簽發(fā)人名稱，而且建議證書不要使用唯一標(biāo)識(shí)符。版本 2 證書尚未得到廣泛使用。 X.509 3 版是最新的版本（1996 年）。它支持?jǐn)U展的概念，因此任

20、何人均可定義擴(kuò)展并將其納入證書中。現(xiàn)在常用的擴(kuò)展包括：KeyUsage（僅限密鑰用于特殊目的，例如“只簽名”）和 AlternativeNames（允許其它身份也與該公鑰關(guān)聯(lián)，例如 DNS 名、電子郵件地址、IP 地址）。擴(kuò)展可標(biāo)記為“極重要”，以表示該擴(kuò)展應(yīng)被檢查并執(zhí)行或使用。例如，如果某一證書將 KeyUsage 擴(kuò)展標(biāo)記為“極重要”，而且設(shè)置為“keyCertSign”，則在 SSL 通訊期間該證書出現(xiàn)時(shí)將被拒絕，因?yàn)樵撟C書擴(kuò)展表示相關(guān)私鑰應(yīng)只用于簽名證書，而不應(yīng)該用于 SSL。 證書中的所有數(shù)據(jù)均用兩個(gè)名為 ASN.1/DER 的相關(guān)標(biāo)準(zhǔn)進(jìn)行編碼。抽象語(yǔ)法注釋 1 (Abstract

21、Syntax Notation 1) 描述數(shù)據(jù)。確定性編碼規(guī)則 (Definite Encoding Rules) 描述儲(chǔ)存和傳輸該數(shù)據(jù)的唯一方式。X.500 特征名X.500 特征名用于標(biāo)識(shí)實(shí)體，例如 X.509 證書的 主體和簽發(fā)人（簽名人）域所命名的實(shí)體。keytool 支持以下的子組件： commonName - 個(gè)人常用名，例如“Susan Jones” organizationUnit - 小型組織（例如部門或分部）的名稱，例如“Purchasing” organizationName - 大型組織的名稱，例如“ABCSystems, Inc.” localityName - 地方

22、（城市）名，例如“Palo Alto” stateName - 州或省份名，例如“California” country - 兩個(gè)字母的國(guó)家代碼，例如“CH” 當(dāng)給出一個(gè)特征名字符串作為 -dname 選項(xiàng)的值時(shí)，例如 -genkey 或 -selfcert 命令中的該選項(xiàng)，字符串必須為以下格式： CN=cName, OU=orgUnit, O=org, L=city, S=state, C=countryCode其中所有的斜體字代表實(shí)際值而上面的關(guān)鍵字是以下縮寫： CN=commonName OU=organizationUnit O=organizationName L=localityN

23、ame S=stateName C=country以下是特征名字符串樣本： CN=Mark Smith, OU=JavaSoft, O=Sun, L=Cupertino, S=California, C=US以下是使用這一字符串的樣本命令： keytool -genkey -dname CN=Mark Smith, OU=JavaSoft, O=Sun, L=Cupertino,S=California, C=US -alias mark大小寫對(duì)關(guān)鍵字縮寫無關(guān)緊要。例如，“CN”、“cn”和“Cn”都將被當(dāng)作是一樣的。 但順序是有關(guān)系的；每個(gè)子組件必須按設(shè)計(jì)好的順序出現(xiàn)。但是，不是所有子組件都

24、必須有?？梢灾挥靡徊糠郑纾?CN=Steve Meier, OU=SunSoft, O=Sun, C=US如果特征名字符串的值含有逗號(hào)，當(dāng)在命令行指定該字符串時(shí)，逗號(hào)必須用“”字符來進(jìn)行轉(zhuǎn)義，如下所示： cn=peter schuster, o=Sun Microsystems, Inc., o=sun, c=us在命令行中指定特征名字符串是不必要的。如果某一命令需要指定特征名字符串，而在命令行中又未提供，則用戶將得到每個(gè)子組件的提示。這種情況下，逗號(hào)不需要用“”來轉(zhuǎn)義。Internet RFC 1421 證書編碼標(biāo)準(zhǔn)證書常用 Internet RFC 1421 標(biāo)準(zhǔn)中定義的可打印的編碼格

25、式來存儲(chǔ)，而不是用其二進(jìn)制編碼來存儲(chǔ)。這種證書格式，也稱“Base 64 編碼”，便于通過電子郵件或其它機(jī)制將證書導(dǎo)出到別的應(yīng)用程序中。 用 -import 和 -printcert 命令讀入的證書可以是這種格式的編碼或是二進(jìn)制格式的編碼。 缺省情況下，-export 命令將以二進(jìn)制編碼格式輸出證書，但如果指定了 -rfc 選項(xiàng)，則將以可打印的編碼格式輸出證書。 缺省情況下，-list 命令打印證書的 MD5 指紋。而如果指定了 -v 選項(xiàng)，將以可讀格式打印證書，如果指定了 -rfc 選項(xiàng)，將以可打印的編碼格式輸出證書。 在其可打印的編碼格式中，已編碼證書的起始行是： -BEGIN CERTI

26、FICATE-結(jié)束行是： -END CERTIFICATE-證書鏈keytool 可創(chuàng)建和管理密鑰倉(cāng)庫(kù)的“密鑰”項(xiàng)，每個(gè)密鑰項(xiàng)都含有私鑰和相關(guān)證書“鏈”。鏈中的第一個(gè)證書含有與私鑰對(duì)應(yīng)的公鑰。 當(dāng)?shù)谝淮萎a(chǎn)生密鑰時(shí)（參見 -genkey 命令），鏈中只含有一個(gè)元素，即自簽名證書。自簽名證書是一個(gè)這樣的證書：其簽發(fā)人（簽名人）與主體（證書所認(rèn)證的公鑰所屬的實(shí)體）相同。當(dāng)調(diào)用 -genkey 命令來生成新的公鑰/私鑰對(duì)時(shí)，它同時(shí)也把公鑰打包進(jìn)自簽名證書中。 之后，當(dāng)證書簽名請(qǐng)求 (CSR) （參見 -certreq 命令）被生成并送至認(rèn)證機(jī)構(gòu) (CA) 后，CA 的答復(fù)將被導(dǎo)入（參見 -import

27、），證書鏈將取代自簽名證書。在鏈的底部是認(rèn)證主體公鑰的 CA 所發(fā)放的證書（答復(fù)）。鏈中下一個(gè)證書是用于認(rèn)證 CA 公鑰的證書。 在許多情況下，這是個(gè)自簽名證書（即來自認(rèn)證其自身公鑰的 CA 的證書）且是鏈中的最后一個(gè)證書。在其它情況下，CA 也許將返回證書鏈。這種情況下，鏈中底部的證書是相同的（由 CA 簽名的證書，對(duì)密鑰項(xiàng)的公鑰進(jìn)行認(rèn)證），但鏈中第二個(gè)證書是由不同的 CA 所簽名的，對(duì)您向其發(fā)送 CSR 的 CA 的公鑰進(jìn)行認(rèn)證。然后，鏈中的下一個(gè)證書將是對(duì)第二個(gè) CA 的公鑰進(jìn)行認(rèn)證的證書，以此類推，直至到達(dá)自簽名的“根”證書為止。因此，鏈中的每個(gè)證書（從第一個(gè)以后）都對(duì)鏈中前一個(gè)證書的

28、簽名人的公鑰進(jìn)行認(rèn)證。 許多 CA 只返回所發(fā)放的證書，而不支持鏈，特別是當(dāng)層次結(jié)構(gòu)較簡(jiǎn)單時(shí)（無中介 CA）。這種情況下，必須用儲(chǔ)存在密鑰倉(cāng)庫(kù)中的可信任的證書信息來建立證書鏈。 另一種答復(fù)格式（由 PKCS#7 標(biāo)準(zhǔn)所定義）除了包含所簽發(fā)的證書外，還支持證書鏈。兩種答復(fù)格式都可由 keytool 處理。 頂層（根）CA 證書是自簽名的。但是，對(duì)根公鑰的信任并非來自根證書本身（任何人都可用特征名來產(chǎn)生自簽名證書！譬如說用 VeriSign 根 CA 的特征名）, 而是來自報(bào)紙之類的其它來源。根 CA 的公鑰是廣為人知的。它被儲(chǔ)存在證書中的唯一原因是因?yàn)檫@是大多數(shù)工具所能理解的格式，因此這種情況下

29、的證書只是作為一種傳輸根 CA 的公鑰用的“交通工具”。在將根 CA 證書加到您的密鑰倉(cāng)庫(kù)中之前，應(yīng)該先對(duì)它進(jìn)行查看（用 -printcert 選項(xiàng)）并將所顯示的指紋與已知的指紋（從報(bào)紙、根 CA 的網(wǎng)頁(yè)等中獲?。┻M(jìn)行比較。導(dǎo)入證書要從一個(gè)文件中導(dǎo)入某個(gè)證書，可用 -import 命令，如下所示： keytool -import -alias joe -file jcertfile.cer此樣本命令導(dǎo)入文件 jcertfile.cer 中的證書并將其存儲(chǔ)在由別名 joe 標(biāo)識(shí)的密鑰倉(cāng)庫(kù)項(xiàng)中。 導(dǎo)入證書的兩個(gè)理由如下： 1. 為將其添加到可信任的證書清單中，或 2. 為導(dǎo)入因向 CA 提交證書簽

30、名請(qǐng)求（參見 -certreq 命令）而收到的來自該 CA 的認(rèn)證答復(fù)。 -alias 選項(xiàng)的值指明要進(jìn)行何種類型的導(dǎo)入。如果數(shù)據(jù)庫(kù)中存在別名，且該別名標(biāo)識(shí)具有私鑰的項(xiàng)，則將假定您要導(dǎo)入認(rèn)證答復(fù)。keytool 將檢查認(rèn)證答復(fù)中的公鑰是否與用別名儲(chǔ)存的私鑰相匹配，如果兩者不同，則程序退出。如果別名標(biāo)識(shí)另一種類型的密鑰倉(cāng)庫(kù)項(xiàng)，則不導(dǎo)入該證書。如果該別名不存在，則它將被創(chuàng)建并與導(dǎo)入的證書關(guān)聯(lián)。 有關(guān)導(dǎo)入可信任證書的警告重要：將證書作為可信任的證書導(dǎo)入之前，請(qǐng)務(wù)必先仔細(xì)檢查該證書！ 先查看一下（用 -printcert 命令，或用不帶 -noprompt 選項(xiàng)的 -import 命令），確保所顯示的

31、證書指紋與所預(yù)計(jì)的相匹配。例如，假設(shè)某人給您送來或用電子郵件發(fā)來一個(gè)證書，您將它放在名為 /tmp/cert 的文件中。在將它加到可信任證書的清單中之前，可通過執(zhí)行 -printcert 命令來查看它的指紋，如下所示： keytool -printcert -file /tmp/cert Owner: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll Issuer: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll Serial Number: 59092b34 Valid from: Thu Sep 25 18:01:13 PDT 1997 u

32、ntil: Wed Dec 24 17:01:13 PST 1997 Certificate Fingerprints: MD5： 11:81:AD:92:C8:E5:0E:A2:01:2E:D4:7A:D7:5F:07:6F SHA1: 20:B6:17:FA:EF:E5:55:8A:D0:71:1F:E8:D6:9D:C0:37:13:0E:5E:FE然后給向您發(fā)送證書的人打電話或用其它方式聯(lián)系，將您將您所看到的指紋與他們所提供的比較。只有兩者相等才可保證證書在傳送途中沒有被其它人（例如，攻擊者）的證書所更換。如果發(fā)生了這樣的攻擊，而您未檢查證書即將其導(dǎo)入，您就會(huì)信任攻擊者所簽名的任何東西

33、（例如，一個(gè)含有惡意類文件的 JAR 文件）。 注意：并不要求在導(dǎo)入證書前執(zhí)行 -printcert 命令，因?yàn)樵趯⒆C書添加到密鑰倉(cāng)庫(kù)中可信任證書的清單中之前，-import 命令將會(huì)打印出該證書的信息，并提示您進(jìn)行校驗(yàn)。這時(shí)，您可選擇中止導(dǎo)入操作。但是注意，只有在調(diào)用不帶 -noprompt 選項(xiàng)的 -import 命令時(shí)才能這樣做。如果給出了 -noprompt 選項(xiàng)，則不存在與用戶的交互導(dǎo)出證書要將證書導(dǎo)出到文件中，請(qǐng)用 -export 命令，如下所示： keytool -export -alias jane -file janecertfile.cer該樣本命令將 jane 的證書導(dǎo)出

34、到文件 janecertfile.cer 中。也就是說，如果 jane 是某個(gè)密鑰項(xiàng)的別名，該命令將導(dǎo)出該密鑰倉(cāng)庫(kù)項(xiàng)中所含證書鏈底部的證書。這是認(rèn)證 jane 的公鑰用的證書。 相反，如果 jane 是某個(gè)可信任證書項(xiàng)的別名，則導(dǎo)出的是該可信任的證書。顯示證書要打印某個(gè)密鑰倉(cāng)庫(kù)項(xiàng)的內(nèi)容，請(qǐng)用 -list 命令，如下所示： keytool -list -alias joe如果未指定別名，如下所示： keytool -list則打印整個(gè)密鑰倉(cāng)庫(kù)的內(nèi)容。 要顯示儲(chǔ)存在文件中的證書的內(nèi)容，請(qǐng)用 -printcert 命令，如下所示： keytool -printcert -file certfile.

35、cer這將打印儲(chǔ)存在文件 certfile.cer 中的有關(guān)證書的信息。 注意：此操作與密鑰倉(cāng)庫(kù)無關(guān)，也就是說，不需要密鑰倉(cāng)庫(kù)即可顯示儲(chǔ)存在文件中的證書。生成自簽名證書自簽名證書是一個(gè)這樣的證書：其簽發(fā)人（簽名人）與主體（證書所認(rèn)證的公鑰所屬的實(shí)體）相同。當(dāng)調(diào)用 -genkey 命令來生成新的公鑰/私鑰對(duì)時(shí)，它同時(shí)也把公鑰打包進(jìn)自簽名證書中。 有時(shí)您也許希望生成新的自簽名證書。例如，您也許想對(duì)不同身份（特征名）使用相同的密鑰對(duì)。例如，假設(shè)您換了個(gè)部門。此時(shí)您可以： 1. 復(fù)制原始的密鑰項(xiàng)。請(qǐng)參見 -keyclone。 2. 用新特征名為該復(fù)制項(xiàng)生成新的自簽名證書。參見下文。 3. 為該復(fù)制項(xiàng)生

36、成證書簽名請(qǐng)求，并導(dǎo)入答復(fù)證書或證書鏈。參見 -certreq 和 -import 命令。 4. 刪除原始（現(xiàn)在已過時(shí)）項(xiàng)。參見 -delete 命令。 要生成自簽名證書，請(qǐng)用 -selfcert 命令，如下所示： keytool -selfcert -alias dukeNew -keypass b92kqmp -dname cn=Duke Smith, ou=Purchasing, o=BlueSoft, c=US所生成的證書作為指定別名（本例中為“dukeNew”）所標(biāo)識(shí)的密鑰倉(cāng)庫(kù)項(xiàng)中的單元素證書來存儲(chǔ)，它將取代現(xiàn)有的證書鏈。命令和選項(xiàng)注意事項(xiàng)下面列出各種命令及其選項(xiàng)，并對(duì)它們進(jìn)行描述。

37、注意： 所有的命令和選項(xiàng)名之前都有減號(hào) (-) 。 每個(gè)命令的選項(xiàng)都可按任意順序提供。 所有非斜體項(xiàng)或不在花括號(hào)和方括號(hào)內(nèi)的項(xiàng)都不能改動(dòng)。 選項(xiàng)周圍的花括號(hào)通常表示如果在命令行中沒有指定該選項(xiàng)，則使用缺省值?；ɡㄌ?hào)還用在 -v、-rfc 和 -J 選項(xiàng)周圍，這些選項(xiàng)只有在命令行中出現(xiàn)時(shí)才有意義（也就是說，它們沒有任何缺省值，不然就是不存在該選項(xiàng)）。 選項(xiàng)周圍的方括號(hào)表示如果在命令行中沒有指定該選項(xiàng)，則用戶將得到要求輸入其值的提示。（對(duì)于 -keypass 選項(xiàng)，如果在命令行中沒有指定該選項(xiàng)，keytool 將先是嘗試用密鑰倉(cāng)庫(kù)口令來訪問私鑰，如果失敗，再提示您輸入私鑰口令。） 斜體項(xiàng)（選項(xiàng)）代

38、表必須提供實(shí)際值。例如，下面是 -printcert 命令的格式： keytool -printcert -file cert_file -v當(dāng)指定 -printcert 命令時(shí)，請(qǐng)用實(shí)際文件名來替代 cert_file，如下所示： keytool -printcert -file VScert.cer 如果選項(xiàng)值含有空白（空格），必須用引號(hào)把它們括起來。 -help 命令是缺省命令。因此，命令行 keytool等價(jià)于 keytool -help選項(xiàng)缺省值下面是各選項(xiàng)的缺省值。 -alias mykey-keyalg DSA-keysize 1024-validity 90-keystore

39、用戶宿主目錄中名為 .keystore 的文件-file 讀時(shí)為標(biāo)準(zhǔn)輸入，寫時(shí)為標(biāo)準(zhǔn)輸出簽名算法（-sigalg 選項(xiàng)）是由所涉及私鑰的算法推導(dǎo)而來的：如果所涉及的私鑰是“DSA”類型，則 -sigalg 選項(xiàng)將缺省為“帶 DSA 的 SHA1”，如果所涉及的私鑰是“RSA”類型，則 -sigalg 選項(xiàng)將缺省為“帶 RSA 的 MD5”。出現(xiàn)在大多數(shù)命令中的選項(xiàng)-v 選項(xiàng)可出現(xiàn)在除 -help 之外的所有命令中。如果出現(xiàn)該選項(xiàng)，表示處在“長(zhǎng)格式”模式下；將輸出詳細(xì)的證書信息。 -Jjavaoption 選項(xiàng)也可在任何命令中出現(xiàn)。如果出現(xiàn)該選項(xiàng)，則所指定的 javaoption 字符串將被直接

40、傳給 Java 解釋器。（keytool 實(shí)際上是解釋器周圍的一個(gè) “wrapper”。） 該選項(xiàng)不應(yīng)含有任何空格。它有助于調(diào)整執(zhí)行環(huán)境或內(nèi)存使用。要獲得可用的解釋器選項(xiàng)的清單，可在命令行鍵入 java -h 或 java -X。 有三個(gè)選項(xiàng)可出現(xiàn)在用于操作密鑰倉(cāng)庫(kù)的所有命令中： -storetype storetype 此限定符指定將被實(shí)例化的密鑰倉(cāng)庫(kù)類型。缺省的密鑰倉(cāng)庫(kù)類型是安全屬性文件中“keystore.type”屬性值所指定的那個(gè)類型，由 java.security.KeyStore 中的靜態(tài)方法 getDefaultType 返回。 -keystore keystore 密鑰倉(cāng)庫(kù)（

41、數(shù)據(jù)庫(kù)文件）的位置。缺省情況下，密鑰倉(cāng)庫(kù)指的是用戶宿主目錄的 .keystore 文件，它是由“user.home”的系統(tǒng)屬性確定的。在 Solaris 系統(tǒng)中，“user.home”缺省為用戶宿主目錄。 -storepass storepass 口令，用來保護(hù)密鑰倉(cāng)庫(kù)的完整性。 storepass 的長(zhǎng)度必須至少為 6 個(gè)字符。所有訪問密鑰倉(cāng)庫(kù)內(nèi)容的命令都必須提供這一選項(xiàng)。對(duì)于這些命令，如果沒有給出 -storepass 選項(xiàng)，則用戶將得到要求輸入該選項(xiàng)的提示。 當(dāng)從密鑰倉(cāng)庫(kù)中檢索信息時(shí)，口令屬于可選項(xiàng)；如果未給出口令，就不能檢查所檢索信息的完整性，而且將出現(xiàn)警告。 使用口令時(shí)必須小心 -

42、參見與口令有關(guān)的警告。與口令有關(guān)的警告大多數(shù)對(duì)密鑰倉(cāng)庫(kù)操作的命令都要求倉(cāng)庫(kù)口令。一些命令要求私鑰口令。 口令可以在命令行上（分別在 -storepass 和 -keypass 選項(xiàng)上）指定。但是，除非是作為測(cè)試目的或是在一個(gè)安全的系統(tǒng)上，否則不應(yīng)在命令行或腳本中指定口令。 如果沒有在命令行上指定所要求的口令選項(xiàng)，您將會(huì)得到要求輸入口令的提示。當(dāng)在口令提示符下鍵入口令時(shí)，口令將被即時(shí)地顯示出來（鍵入什么就顯示什么），因此，要小心，不要當(dāng)著任何人的面鍵口令。命令另請(qǐng)參閱命令和選項(xiàng)注釋。 向密鑰倉(cāng)庫(kù)添加數(shù)據(jù)-genkey -alias alias -keyalg keyalg -keysize ke

43、ysize -sigalg sigalg -dname dname -keypass keypass -validity valDays -storetype storetype -keystore keystore -storepass storepass -v -Jjavaoption 產(chǎn)生密鑰對(duì)（公鑰和與之關(guān)聯(lián)的私鑰）。將公鑰打包進(jìn) X.509 v1 的自簽名證書中，該證書以單元素證書鏈的形式儲(chǔ)存。該證書鏈和私鑰將儲(chǔ)存于 alias 所標(biāo)識(shí)的新密鑰倉(cāng)庫(kù)項(xiàng)中。 keyalg 指定了用于生成密鑰對(duì)的算法，而 keysize 指定要生成的每個(gè)密鑰的大小。sigalg 指定簽名自簽名證書所用的算

44、法；這一算法必須與 keyalg 兼容。參見支持的算法和密鑰大小。 dname 指定與 alias 關(guān)聯(lián)的 X.500 特征名，并用作自簽名證書中的 issuer 和 subject 域。如果在命令行中沒有提供特征名，用戶將得到要求輸入該信息的提示。 keypass 是口令，用來保護(hù)所生成密鑰對(duì)中的私鑰。如果沒有提供口令，用戶將得到要求輸入口令的提示。如果在提示符下按 RETURN 鍵，則密鑰口令將被設(shè)置為與密鑰倉(cāng)庫(kù)所用的口令相同。keypass 的長(zhǎng)度必須至少為 6 個(gè)字符。使用口令時(shí)必須小心 - 參見 與口令有關(guān)的警告。 valDays 指定證書的有效期。 -import -alias a

45、lias -file cert_file -keypass keypass -noprompt -trustcacerts -storetype storetype -keystore keystore -storepass storepass -v -Jjavaoption 從文件 cert_file 中讀取證書或證書鏈（后者在 PKCS#7 格式的答復(fù)所給出）并將其儲(chǔ)存在 alias 所標(biāo)識(shí)的密鑰倉(cāng)庫(kù)項(xiàng)中。如果沒有給出文件，則從標(biāo)準(zhǔn)輸入設(shè)備中讀取證書或 PKCS#7 答復(fù)。keytool 可導(dǎo)入 X.509 v1、v2 和 v3 的證書以及由該類證書所組成的 PKCS#7 格式的證書鏈。要

46、導(dǎo)入的數(shù)據(jù)必須是二進(jìn)制編碼格式或 Internet RFC 1421 標(biāo)準(zhǔn)所定義的可打印的編碼格式（也稱 Base64 編碼）。在后一種情況下，編碼必須用以“-BEGIN”開頭的字符串開始，用以“-END”結(jié)尾的字符串來結(jié)束。 當(dāng)導(dǎo)入新的可信任證書時(shí)，密鑰倉(cāng)庫(kù)中還沒有 alias。在把證書添加到密鑰倉(cāng)庫(kù)中之前，keytool 將嘗試用密鑰倉(cāng)庫(kù)中已有的可信任證書來構(gòu)造從該證書到自簽名證書（屬于根 CA）的信任鏈，以對(duì)證書進(jìn)行校驗(yàn)。 如果指定了 -trustcacerts 選項(xiàng)，則將為該信任鏈考慮其它證書，即考慮名為“cacerts”的文件中的證書，該文件位于 JDK 安全屬性目錄 java.ho

47、melibsecurity 中，其中 java.home 為 JDK 安裝目錄?！癱acerts”文件代表含有 CA 證書的系統(tǒng)范圍的密鑰倉(cāng)庫(kù)。通過指定密鑰倉(cāng)庫(kù)類型為“jks”，系統(tǒng)管理員可用 keytool 來配置和管理該文件?！癱acerts”密鑰倉(cāng)庫(kù)文件發(fā)送時(shí)附有五個(gè) VeriSign 根 CA 證書，其 X.500 特征名如下： 1. OU=Class 1 Public Primary Certification Authority, O=VeriSign, Inc.,C=US2. OU=Class 2 Public Primary Certification Authority, O

48、=VeriSign,Inc., C=US3. OU=Class 3 Public Primary Certification Authority,O=VeriSign, Inc., C=US4. OU=Class 4 Public Primary CertificationAuthority, O=VeriSign, Inc., C=US5. OU=Secure Server CertificationAuthority, O=RSA Data Security, Inc., C=US“cacerts”密鑰倉(cāng)庫(kù)文件的初始口令為“changeit” 。系統(tǒng)管理員在安裝 JDK 后，就應(yīng)該立即更改

49、這個(gè)口令以及該文件的缺省訪問權(quán)限。 如果 keytool 無法建立從要導(dǎo)入的證書到自簽名證書的信任路徑（利用密鑰倉(cāng)庫(kù)或“cacerts”文件），則打印出該證書的信息，而用戶將得到要求校驗(yàn)的提示，例如，系統(tǒng)將通知用戶通過比較顯示出的指紋和得自其它（可信任的）信息來源的指紋來進(jìn)行校驗(yàn)，信息來源可能是證書擁有者本人。在將證書作為一個(gè)“可信任”證書導(dǎo)入之前，要十分小心，務(wù)必保證該證書是有效的！ - 參見有關(guān)導(dǎo)入可信任證書的警告。然后，用戶可以選擇中止導(dǎo)入操作。但是，如果給了 -noprompt 選項(xiàng)，則不會(huì)有與用戶的交互。 當(dāng)導(dǎo)入認(rèn)證答復(fù)時(shí)，該認(rèn)證答復(fù)將用密鑰倉(cāng)庫(kù)中可信任的證書來確認(rèn)，有時(shí)也使用在“c

50、acerts”密鑰倉(cāng)庫(kù)文件中配置的證書（如果指定了 -trustcacerts 選項(xiàng)）。 如果答復(fù)是一個(gè) X.509 證書，keytool 將嘗試建立信任鏈，以該認(rèn)證答復(fù)為頭，以屬于根 CA 的自簽名證書為尾。該認(rèn)證答復(fù)和用于認(rèn)證該認(rèn)證答復(fù)的證書層次形成了 alias 的新證書鏈。 如果答復(fù)是 PKCS#7 格式的證書鏈，則該鏈應(yīng)首先被排序（用戶證書在最前面，自簽名的根 CA 證書在最后面），然后 keytool 嘗試將答復(fù)中的根 CA 證書與密鑰倉(cāng)庫(kù)或“cacerts”密鑰倉(cāng)庫(kù)文件（如果指定了 -trustcacerts 選項(xiàng)）中的任何可信任證書進(jìn)行匹配。如果找不到匹配，則打印出該根 CA

51、證書的信息，而用戶將得到要求校驗(yàn)它的提示，例如，系統(tǒng)將通知用戶通過比較顯示出的指紋和得自其它（可信任的）信息來源的指紋來進(jìn)行校驗(yàn)，信息來源可能是證書擁有者本人。因此，用戶可以選擇中止導(dǎo)入操作。但是，如果給了 -noprompt 選項(xiàng)，則不會(huì)有與用戶的交互。 alias 的新證書鏈將取代與該項(xiàng)關(guān)聯(lián)的舊證書鏈。只有提供了有效的 keypass，即提供了用于保護(hù)該項(xiàng)的私鑰的口令時(shí)，舊鏈才可被取代。如果沒有提供口令，而且私鑰口令與密鑰倉(cāng)庫(kù)口令不同，用戶將得到要求輸入口令的提示。使用口令時(shí)必須小心 - 參見與口令有關(guān)的警告。 -selfcert -alias alias -sigalg sigalg -

52、dname dname -validity valDays -keypass keypass -storetype storetype -keystore keystore -storepass storepass -v -Jjavaoption 利用密鑰倉(cāng)庫(kù)信息（包括與 alias 關(guān)聯(lián)的私鑰和公鑰）產(chǎn)生 X.509 v1 自簽名證書。如果在命令行提供了 dname，它將同時(shí)用作該證書的簽發(fā)人和主體的 X.500 特征名。否則，將使用與 alias 關(guān)聯(lián)的 X.500 特征名（位于其現(xiàn)有證書鏈底部）。 所生成的證書作為 alias 所標(biāo)識(shí)的密鑰倉(cāng)庫(kù)項(xiàng)中的單元素證書鏈來存儲(chǔ)，它將取代現(xiàn)有的證書

53、鏈。 sigalg 指定簽名證書用的算法。參見支持的算法和密鑰大小。 要訪問私鑰，必須提供正確的口令，因?yàn)樗借€在密鑰倉(cāng)庫(kù)中是受口令保護(hù)的。如果在命令行中沒有提供 keypass，且私鑰口令與保護(hù)密鑰倉(cāng)庫(kù)完整性所用的口令不同，則用戶將得到要求輸入該口令的提示。使用口令時(shí)必須小心 - 參見與口令有關(guān)的警告。 valDays 指定證書的有效期。 -identitydb -file idb_file -storetype storetype -keystore keystore -storepass storepass -v -Jjavaoption 從 idb_file 文件中讀取 JDK 1.1.

54、x 格式的身份數(shù)據(jù)庫(kù)，并將它的項(xiàng)加到密鑰倉(cāng)庫(kù)中。如果沒有給出文件名，則從標(biāo)準(zhǔn)輸入設(shè)備中讀取身份數(shù)據(jù)庫(kù)。如果不存在密鑰倉(cāng)庫(kù)，則創(chuàng)建它。 只有被標(biāo)記為可信任的身份數(shù)據(jù)庫(kù)項(xiàng)（“身份”）才能被導(dǎo)入密鑰倉(cāng)庫(kù)中。所有其它身份都將被略去。對(duì)每個(gè)可信任的身份，將創(chuàng)建一個(gè)密鑰倉(cāng)庫(kù)項(xiàng)。身份名用作該密鑰倉(cāng)庫(kù)項(xiàng)的“別名”。 所有可信任身份的私鑰都將在相同的口令 storepass 下得到加密。該口令與保護(hù)密鑰倉(cāng)庫(kù)完整性所用的口令相同。用戶隨后可用 keytool 命令選項(xiàng)“-keypasswd”來對(duì)各私鑰賦予單獨(dú)的口令。 身份數(shù)據(jù)庫(kù)中的一個(gè)身份可以存放多個(gè)證書，各證書所認(rèn)證的都是同一公鑰。但一個(gè)私鑰的密鑰倉(cāng)庫(kù)密鑰項(xiàng)含

55、有該私鑰和單一的“證書鏈”（該鏈最初只有一個(gè)證書），鏈中的第一個(gè)證書含有與該私鑰對(duì)應(yīng)的公鑰。當(dāng)從身份導(dǎo)入信息時(shí)，只有該身份中的第一個(gè)證書被儲(chǔ)存到密鑰倉(cāng)庫(kù)中。這是因?yàn)樯矸輸?shù)據(jù)庫(kù)中的身份名被用作其相應(yīng)密鑰倉(cāng)庫(kù)項(xiàng)的別名，而別名在密鑰倉(cāng)庫(kù)中是唯一的。導(dǎo)出數(shù)據(jù)-certreq -alias alias -sigalg sigalg -file certreq_file -keypass keypass -storetype storetype -keystore keystore -storepass storepass -v -Jjavaoption 生成 PKCS#10 格式的證書簽名請(qǐng)求 (CSR

56、)。 CSR 用來發(fā)送給認(rèn)證機(jī)構(gòu) (CA)。CA 對(duì)認(rèn)證請(qǐng)求者進(jìn)行認(rèn)證（通常是離線的），并返回證書或證書鏈，以取代密鑰倉(cāng)庫(kù)中現(xiàn)有的證書鏈（該證書鏈最初只含有自簽名證書）。 私鑰和與 alias 關(guān)聯(lián)的 X.500 特征名用于創(chuàng)建 PKCS#10 證書請(qǐng)求。要訪問私鑰，必須提供正確的口令，因?yàn)樗借€在庫(kù)中是受口令保護(hù)的。如果在命令行沒有提供 keypass，且私鑰口令與保護(hù)密鑰倉(cāng)庫(kù)完整性所用的口令不同，則用戶將得到要求輸入口令的提示。 使用口令時(shí)必須小心 - 參見與口令有關(guān)的警告。 sigalg 指定簽名 CSR 時(shí)用的算法。參見支持的算法和密鑰大小。 CSR 存儲(chǔ)在文件 certreq_file 中。如果沒有給出文件名，CSR 將被輸出到標(biāo)準(zhǔn)輸出設(shè)備中。 用 import 命令來導(dǎo)入 CA 所返回的答復(fù)。 -export -alias alias -file cert_file -storetype storetype -keystore keystore -storepass storepass -rfc -v -Jjavaoption 從密鑰倉(cāng)庫(kù)中讀取與 alias 關(guān)聯(lián)的證書，并將其儲(chǔ)存在文