Keytool 是一个JAVA环境下的安全钥匙与凭证的管理工具.它管理一个存储了私有钥匙和验证相应公共钥匙的与它们相关联的X.509 凭证链的keystore(相当一个资料库，里面可存放多个X.509标准的凭证).

Keytool 是一个有效的安全钥匙和凭证的管理工具. 它能够使用户使用数码签名来管理他们自己的私有/公共钥匙对,管理用来作自我鉴定的相关的凭证,管理资料完整性和鉴定服务.它还能使用户在通信时缓存它们的公共钥匙.

一个凭证是某一实体(个人,公司等)的数码签名,指出其它实体的公共钥匙(或其它信息)的详细的值.当资料被签名后,这个签名信息被用来检验资料的完整性和真实性.完整性指数据没有被修改和篡改,真实性指数据从任何产生和签名的一方真正的传输到达.

Keytool 把钥匙和凭证储存到一个keystore.默任的实现keystore的是一个档.它用一个口令保护钥匙.

Keystore有两个不同的入口:

1.钥匙入口:保存了非常敏感的加密的钥匙信息,并且是用一个保护的格式存储以防止未被授权的访问.以这种形式存储的钥匙是秘密钥匙,或是一个对应凭证链中公有钥匙的私有钥匙.

2.信任凭证入口:包含一个属于其它部分的单一公共钥匙凭证.它之所以被称为"信任凭证",是因为keystore信任的凭证中的公共钥匙真正属于凭证所有者的身份识别.

Keystore的别名:

所有的keystore入口(钥匙和信任凭证入口)是通过唯一的别名访问.别名是 不区分大小写的.如别名Hugo和hugo指向同一个keystore入口.

可以在加一个入口到keystore的时候使用-genkey参数来产生一个钥匙对(公共钥匙和私有钥匙)时指定别名.也可以用-import参数加一个凭证或凭证链到信任凭证,例如：

keytool -genkey -alias myssl -keypass mysslpasswd

其中myssl为别名,mysslpasswd为myssl别名的口令.这行命令的作用是产生一个新的公共/私有钥匙对.

假如你想修改口令,可以用:

keytool -keypasswd -alias myssl -keypass mysslpasswd -new newpass

将旧口令mysslpasswd改为newpass.

Keystore的产生:

1.当使用-genkey 或-import或-identitydb命令添加资料到一个keystore,而当这个keystore不存在时,产生一个keystore.缺省名是.keystore,存放到user-home目录.

2.当用-keystore指定时,将产生指定的keystore.

Keystore的实现:

Keytool 类位于java.security包下,提供一个非常好的接口去取得和修改一个keystore中的信息. 目前有两个命令行:keytool和jarsinger,一个GUI工具Policy 可以实现keystore.由于keystore是公开的,用户可以用它写一些额外的安全应用程序.

Keystore还有一个sun公司提供的内在实现.它把keystore作为一个档来实现.利用了一个keystore类型(格式)"JKS".它用单独的口令保护每一个私有钥匙.也用可能不同的口令保护整个keystore的完整性.

Keystore支持的算法和钥匙大小:

keytool允许用户指定钥匙对和注册口令服务供应者所提供的签名算法.缺省的钥匙对产生算法是"DSA".假如私有钥匙是"DSA"类型,缺省签名算法是"SHA1withDSA",假如私有钥匙是"RSA"类型,缺省算法是"MD5withRSA".

当产生一个DSA钥匙对,钥匙必须在512-1024位之间.对任何算法的缺省钥匙大小是1024位.

Keytool应用实例:

1.产生一个keystore:

keytool -genkey -alias myssl -keyalg RSA -keystore myssl.jks

运行这个命令,系统提示:

Enter keystore password:(输入keystore口令:)
yourpassword(输入口令)

What is your first and last name?(您的名字与姓氏是什么？)
[Unknown]: www.myssl.cn(输入申请的凭证的网域名称)

What is the name of your organizational unit? (您的组织单位名称是什么？)
[Unknown]:Fastcom(输入你所在组织单位的名字)

What is the name of your organization? (您的组织名称是什么？)
[Unknown]:Fastcom (输入你所在组织的名字)

What is the name of your City or Locality?(您所在的城市或区域名称是什么？)
[Unknown]:Shanghai(输入所在城市的名字)

What is the name of your State or Province? (您所在的州、县或省份名称是什么？)
[Unknown]:Shanghai(输入所在省份名字)

What is the two-letter country code for this unit?(该单位的两字母国家代码是什么？)
[Unknown]:TW(输入国家名字,如果是台湾，请输入TW)

Is CN=www.myssl.cn, OU=fastcom, O=fastcom, L=Shanghai, ST=Shanghai, C=CN correct? [no]:
yes

2.检查一个keystore:

keytool -list -v -keystore myssl.jks

Enter keystore password:yourpassword(输入口令)

将显示keystore内容如下:

Keystore type: jks
Keystore provider: SUN
Your keystore contains 1 entry
Alias name: myssl
Creation date: Nov 24 , 2006
Entry type: keyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=www.myssl.cn, OU=fatcom, O=fastcom, L=Shanghai, ST=Shanghai, C=CN
Issuer: CN=www.myssl.cn, OU=fastcom, O=fastcom, L=Shanghai, ST=Shanghai, C=CN
Serial number: 3c22adc1
Valid from: Thu Nov 24 19:34:25 PST 2006 until: Thu Nov 24 19:34:25 PST 2007
Certificate fingerprints:
MD5: F1:5B:9B:A1:F7:16:CF:25:CF:F4:FF:35:3F:4C:9C:F0
SHA1: B2:00:50:DD:B6:CC:35:66:21:45:0F:96:AA:AF:6A:3D:E4:03:7C:74

3.输出keystore到一个档:testkey:

keytool -export -alias myssl -keystore myssl.jks -rfc -file testkey

系统输出:

Enter keystore password:your password(输入口令)

Certificate stored in file

4.输入凭证到一个新的truststore:

keytool -import -alias myssl -file testkey -keystore truststore

Enter keystore password:your new password.(输入truststore新口令)

5.检查truststore:

keytool -list -v -keystore truststore

系统将显示truststore的信息.

Keytool命令行参数说明: