keytool演算法

⑴ java數據證書管理工具keytool怎麼看生成成功了

下面產生一個自簽證書。安裝完J2SDK（這里用的是J2SDK1.4）後，在J2SDK安裝目錄的bin目錄下，有一個keytool的可執行程序。利用keytool產生自簽證書的步驟如下：

第一步，用-genkey命令選項，產生公私密鑰對。在控制台界面輸入：keytool -genkey -alias testkeypair -keyalg RSA -keysize 1024 -sigalg MD5withRSA。這里的-alias表示使用這對公私密鑰產生新的keystore入口的別名(keystore是用來存放管理密鑰對和證書鏈的，預設位置是在使用者主目錄下，以.keystore為名的隱藏文件，當然也可指定某個路徑存放.keystore文件)；-keyalg是產生公私鑰對所用的演算法，這里是RSA；-keysize定義密鑰的長度；-sigalg是簽名演算法，選擇MD5withRSA，即用RSA簽名，然後用MD5哈希演算法摘要。接下來，系統會提示進行一些輸入：

輸入keystore密碼： abc123
您的名字與姓氏是什麼？
[Unknown]： Li
您的組織單位名稱是什麼？
&nbs

⑵ APP為什麼簽名，使用keytool jarsigner進行簽名

簽名(sign)：在應用程序的特定欄位寫入特定的標記信息，表示該軟體已經通過了簽署者的審核。過程：使用私有密鑰數字地簽署一個給定的應用程序
作用：
識別應用程序作者
檢測應用程序是否發生改變
有種程序升級，當新程序與舊程序簽名不一致時，會發生沖突認為不是同一APP,，要求新程序改包名
。。。
keytool 生成簽名私鑰命令
keytool -genkey -v -keyalg DSA -keysize 1024 -sigalg SHA1withDSA -validity 10000 -keystore Test.keystore -alias devel -keypass 123456 -storepass 123456

Keytool 選項
描述

-genkey 產生一個鍵值對（公鑰和私鑰）
-v 允許動作輸出
-alias<alias_name> 鍵的別名。只有前八位字元有效。
-keyalg 產生鍵的 加密 演算法。支持DSA和RSA。
-keysize 產生鍵的長度。如果不支持，keytool用默認值1024 bits.通常我們用2048 bits 或更長的key。
-dname
專有名稱，描述誰創建的密鑰。該值被用作自簽名證書的頒發者和主題欄位。注意可以不在命令行指定。如果沒有指定keytool會提示(CN, OU, and so on)。

-keypass
鍵的密碼。
主要為了安全起見，如果沒提供，keytool會提示你輸入。

-validity
鍵的有效期，單位：天
Note: A value of 10000 or greater is recommended.

-keystore.keystore 用於存儲私鑰的文件。
-storepass
私鑰存儲文件的密碼。
主要為了安全起見，如果沒提供，keytool會提示你輸入。這個密碼不會存儲在你的shell歷史記錄中。

jarsigner使用私鑰簽名
jarsigner -verbose -sigalg SHA1withDSA -digestalg SHA1 -keystore Test.keystore -storepass 123456 test.apk devel
參數：

Jarsigner 選項
描述

-keystore.keystore 包含你私鑰的存儲文件
-verbose 顯示輸出動作。
-sigalg 簽名演算法，用 SHA1withRSA .
-digestalg 消息摘要演算法，用 SHA1 .
-storepass
存儲文件的密碼。
主要為了安全起見，如果沒提供，jarsigner會提示你輸入。這個密碼不會存儲在你的shell歷史記錄中。

-keypass
私鑰的密碼。
主要為了安全起見，如果沒提供，jarsigner會提示你輸入。這個密碼不會存儲在你的shell歷史記錄中。

⑶ 如何使用keytool創建密鑰倉庫

一步：生成密鑰對
您首先要做的是創建一個密鑰倉庫和生成密鑰對。您可以使用以下命令：
keytool -genkey -keyalg RSA -keysize 512 -dname "cn=hyq,o=eagle,c=cn" -alias weblogic -keypass 123456 -keystore C:/mykeystore/weblogic.jks -storepass 123456 -validity 365
（請注意：鍵入該命令時必須使其成為一行。此處用多行來顯示，主要是為了可讀性。）如下圖：
Snap2.gif

該命令將在 C 盤的 「mykeystore」 目錄中創建名為 「weblogic.jks」 的密鑰倉庫，並賦予它口令 「 123456 」 。它將為實體生成公鑰 / 私鑰對，該實體的 「 特徵名 」 為：常用名 「hyq」 、組織 「eagle」 和兩個字母的國家代碼 「cn」 。「 -keyalg 」指定它使用的是那種密鑰生成演算法來創建密鑰，預設的是 「DSA」 密鑰生成演算法（會使用預設的 「 帶 DSA 的 SHA1」 簽名演算法），兩個密鑰（公鑰與私鑰）的長度是 512 位，由 -keysize 來指定，默認的是 1024 位。 該證書包括公鑰和特徵名信息。該證書的有效期為 365 天，由 -validity 來指定，且與別名 「business」 所代表的密鑰倉庫項關聯。私鑰被賦予口令 「 123456 」 。

命令行里 DName 信息註解

DN 信息域
含義
CN
域名或 IP
OU
部門，沒有部門的可不要此項
O
單位名稱
L
單位地址
S
省份的拼音（第一個字母大寫）
C
國家的簡寫 （ CN 代表中國）

如果採用選項的預設值，可以大大縮短該命令。實際上，這些選項並不是必需的；對於有預設值的選項，未指定時將使用預設值，對於任何被要求的值，您將會得到要求輸入它的提示。例如：輸入命令 keytool -genkey -keystore "C:/tone.jks" -storepass 123456 -keyalg RSA ，就會有如下提示：
Snap3.gif

注意：這里的 密鑰倉庫路徑一定要存在，如果不存在的話，它就會拋如下的異常
Snap4.gif
第二步 : 產生證書請求certreq.pem 文件
使用如下命令：
keytool -certreq -alias weblogic -sigalg "MD5withRSA" -file C:/mykeystore/certreq.pem -keypass 123456 -keystore C:/mykeystore/weblogic.jks -storepass 123456
Snap5.gif
這樣在 C:/mykeystore/ 目錄下 就會產生一個 certreq.pem 文件，內容如下：
-----BEGIN NEW CERTIFICATE REQUEST-----
lxMFww
+
EAYRNl
l5dyGgV9hhu++/
ItNKJw==
-----END NEW CERTIFICATE REQUEST-----

第三步：這就相對來說簡單多了，就是向CA提交證書請求。
你可以隨便從網上找一家免費的CA認證適用機構（很多的），然後按照上面的提示進行操作就可以了，這一步就要用到前面生成的certreq.pem 文件了。（注意：一定要下載根證書）
將生成的證書和下載的根證書放至你比較容易找到的位置，我一般將它們和生成的jks文件放到一起。

第四步：導入證書
通過命令：keytool -import -alias RootCA -trustcacerts -file C:/mykeystore/RootCADemo.cer -keystore C:/mykeystore/weblogic.jks -storepass 123456將根證書導入第一步生成的weblogic.jks中，接著將所有其它的證書按照此命令全部導入。（注意證書的別名不能重復，同時一定注意要用上 -trustcacerts，否則，你在以後使用時，它將會認為你導入的這些證書是不可信任的 ，就會導致你在配置SSL時不能正常的工作。）
這就全部完成了密鑰倉庫的創建。然後就可以在支持這些證書格式的伺服器上使用了。下一篇將會寫一下在weblogic上如何配置雙向SSL。

⑷ keytool 的問題

Keytool 是安全鑰匙與證書的管理工具.它管理一個存儲了私有鑰匙和驗證相應公共鑰匙的與它們相關聯的X.509 證書鏈的keystore(相當一個資料庫).
Keytool 是一個有效的安全鑰匙和證書的管理工具. 它能夠使用戶使用數字簽名來管理他們自己的私有/公共鑰匙對,管理用來作自我鑒定的相關的證書,管理數據完整性和鑒定服務.它還能使用戶在通信時緩存它們的公共鑰匙.
一個證書是某一實體(個人,公司等)的數字簽名,指出其他實體的公共鑰匙(或其他信息)的詳細的值.當數據被簽名後,這個簽名信息被用來檢驗數據的完整性和真實性.完整性指數據沒有被修改和篡改,真實性指數據從任何產生和簽名的一方真正的傳輸到達.
Keytool 把鑰匙和證書儲存到一個keystore.默任的實現keystore的是一個文件.它用一個密碼保護鑰匙.
而另外的一個工具jarsigner用keystore中的信息產生或檢驗Java aRchive(jar文件)中的數字簽名.
Keystore有兩個不同的入口:
1.鑰匙入口:保存了非常敏感的加密的鑰匙信息,並且是用一個保護的格式存儲以防止未被授權的訪問.以這種形式存儲的鑰匙是秘密鑰匙,或是一個對應證書鏈中公有鑰匙的私有鑰匙.
2.信任證書入口:包含一個屬於其他部分的單一公共鑰匙證書.它之所以被稱為"信任證書",是因為keystore信任的證書中的公共鑰匙真正屬於證書所有者的身份識別.
Keystore的別名:
所有的keystore入口(鑰匙和信任證書入口)是通過唯一的別名訪問.別名是 不區分大小寫的.如別名Hugo和hugo指向同一個keystore入口.
可以在加一個入口到keystore的時候使用-genkey參數來產生一個鑰匙對(公共鑰匙和私有鑰匙)時指定別名.也可以用-import參數加一個證書或證書鏈到信任證書.
如:
keytool -genkey -alias ke -keypass kekeypasswd
其中ke為別名,kekeypasswd為ke別名的密碼.這行命令的作用是產生一個新的公共/私有鑰匙對.
假如你想修改密碼,可以用:
keytool -keypasswd -alias ke -keypass kekeypasswd -new newpass
將舊密碼kekeypasswd改為newpass.

Keystore的產生:
1.當使用-genkey 或-import或-identitydb命令添加數據到一個keystore,而當這個keystore不存在時,產生一個keystore.默認名是.keystore,存放到user-home目錄.
2.當用-keystore指定時,將產生指定的keystore.
Keystore的實現:
Keytool 類位於java.security包下,提供一個非常好的介面去取得和修改一個keystore中的信息. 目前有兩個命令行:keytool和jarsinger,一個GUI工具Policy 可以實現keystore.由於keystore是公開的,用戶可以用它寫一些額外的安全應用程序.
Keystore還有一個sun公司提供的內在實現.它把keystore作為一個文件來實現.利用了一個keystore類型(格式)"JKS".它用單獨的密碼保護每一個私有鑰匙.也用可能不同的密碼保護整個keystore的完整性.
支持的演算法和鑰匙大小:
keytool允許用戶指定鑰匙對和注冊密碼服務供應者所提供的簽名演算法.預設的鑰匙對產生演算法是"DSA".假如私有鑰匙是"DSA"類型,預設簽名演算法是"SHA1withDSA",假如私有鑰匙是"RSA"類型,預設演算法是"MD5withRSA".
當產生一個DSA鑰匙對,鑰匙必須在512-1024位之間.對任何演算法的預設鑰匙大小是1024位.
證書:
一個證書是一個實體的數字簽名,指出其他實體的公共鑰匙有明確的值.
1.公共鑰匙 :是同一個詳細的實體的數字關聯,並有意讓所有想同這個實體發生信任關系的其他實體知道.公共鑰匙用來檢驗簽名;
2.數字簽名:假如數據已被簽名,並用身份存儲在一個實體中,一個簽名能夠證明這個實體知道這個數據.這個數據用實體私有鑰匙簽名並遞交;
3.身份:知道實體的方法.在一些系統中身份是公共鑰匙,其他系統中可以是從一個X.509名字的郵件地址的Unix UID來的任何東西;
4.簽名:一個簽名用用實體私有鑰匙來計算某些加密數據;
5.私有鑰匙:是一些數字,每一個私有鑰匙只能被特定的擁有該私有鑰匙的實體知道.私有和公共鑰匙存在所有用公共鑰匙加密的系統的鑰匙對中.一個公共鑰匙加密(如DSA),一個私有鑰匙與一個正確的公共鑰匙通信.私有鑰匙用來計算簽名.
6.實體:一個實體可以是一個人,一個組織,一個程序,一台計算機,一個商業,一個銀行,或其他你想信任的東西.

Keytool應用實例:
1.產生一個keystore:
keytool -genkey -alias User(keystore的別名) -keyalg RSA -validity 7 -keystore keystore(指定keystore).
運行這個命令,系統提示:
Enter keystore password:yourpassword(輸入密碼)
What is your first and last name?
[Unknown]: your name(輸入你的名字)
What is the name of your organizational unit?
[Unknown]:your organizational(輸入你所在組織單位的名字)
What is the name of your organization?
[Unknown]:your organization name (輸入你所在組織的名字)
What is the name of your City or Locality?
[Unknown]:your city name(輸入所在城市的名字)
What is the name of your State or Province?
[Unknown]:your provice name(輸入所在省份名字)
What is the two-letter country code for this unit?
[Unknown]:cn(輸入國家名字)
Is CN=your name, OU=your organizaion, O="your organization name",
L=your city name, ST=your province name, C=cn correct?
[no]: yes

2.檢查一個keystore:
keytool -list -v -keystore keystore
Enter keystore password:your password(輸入密碼)
將顯示keystore內容如:
Keystore type: jks
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: yourname
Creation date: Dec 20, 2001
Entry type: keyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=yourname, OU=your organization, O="your organization name",
L=your city name, ST=your province name, C=CN
Issuer: CN=Duke, OU=Java Software, O="Sun Microsystems, Inc.", L=Palo Alto, ST=CA, C=US
Serial number: 3c22adc1
Valid from: Thu Dec 20 19:34:25 PST 2001 until: Thu Dec 27 19:34:25 PST 2001
Certificate fingerprints:
MD5: F1:5B:9B:A1:F7:16:CF:25:CF:F4:FF:35:3F:4C:9C:F0
SHA1: B2:00:50:DD:B6:CC:35:66:21:45:0F:96:AA:AF:6A:3D:E4:03:7C:74
3.輸出keystore到一個文件:testkey:
keytool -export -alias ke -keystore keystore -rfc -file testkey
系統輸出:
Enter keystore password:your password(輸入密碼)
Certificate stored in file
4.輸入證書到一個新的truststore:
keytool -import -alias kecert -file testkey -keystore truststore
Enter keystore password:your new password.(輸入truststore新密碼)

5.檢查truststore:
keytool -list -v -keystore truststore
系統將顯示truststore的信息.
現在可以用適當的keystore運行你的應用程序.如:
java -Djavax.net.ssl.keyStore=keystore -Djavax.net.ssl.keyStorePassword=password Server
和: java -Djavax.net.ssl.trustStore=truststore
-Djavax.net.ssl.trustStorePassword=trustword Client

⑸ 如何查看apk和簽名文件的簽名信息

1.通過apktool工具解壓當前apk(比如：demo.apk)，解壓後，會生成CERT.RSA文件

**** apktool d demo.apk

備註：通過這種方式解壓出來的Androidmenifest.xml文件可以通過文件編輯器打開查看；

2.通過keytool命令獲取簽名信息

**** keytool -printcert -file C:\Android\soft\apktool\demo\original\META-INF\CERT.RSA所有者: CN=ryt, OU=ryt, O=ryt, L=nanjing, ST=china, C=cn
發布者: CN=ryt, OU=ryt, O=ryt, L=nanjing, ST=china, C=cn
序列號: 12893889
有效期開始日期:
證書指紋:
MD5: 1A:0F:52:94:8D:DB:7A:E9:7A:7E:A5:3B:A3:A7:F9:39
SHA1: 89:57:4E:E2:1F:CB:68:CB:66:80:D6:29:57:92:AD:AC:51:4F:76:F2
SHA256: BF:FB:9C:67:E1:7B:49:26:4A:D9:84:9D:48:DA:C1:4F:00:77:74:15:27:90:95:D0:B3:D8:0A:EA:2F:81:F1:B9
簽名演算法名稱: SHA256withRSA
版本: 3

擴展:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: C3 D6 E3 9F C3 F3 1E BE 6E F9 BC 35 6F 8B 21 52 ........n..5o.!R
0010: 12 38 AD BC .8..
]
]
3.查看my.keystore簽名文件的簽名信息

**** keytool -list -keystore C:\Android\workspace\my.keystore

輸入密鑰庫口令:
密鑰庫類型: JKS
密鑰庫提供方: SUN
您的密鑰庫包含 1 個條目
my, 2016-6-15, PrivateKeyEntry,
證書指紋 (SHA1): 89:57:4E:E2:1F:CB:68:CB:66:80:D6:29:57:92:AD:AC:51:4F:76:F2

⑹ 通過jdk自帶keytool生成ssl證書安全嗎

自主生成SSL證書不安全，原因有幾方面：

1. 自簽名證書不受瀏覽器信任，用戶訪問部署自簽名證書的網站時會被瀏覽器警告並阻止訪問；

2. 自簽名證書可以隨意簽發，不受國際標准監管，你能自己簽發，黑客也可以自己簽發和你一樣的證書用來進行中間人攻擊，SSL加密的保護機制形同虛設。

3. 自簽名證書可能採用不安全的1024位公鑰演算法或SHA-1摘要演算法等已經過時的標准，非常容易被破解。

使用SSL證書主要是為了通過SSL加密驗證機制保護數據傳輸安全，如果使用自簽名證書完全無法起到安全保護的作用，最好是向瀏覽器信任的證書頒發機構沃通WoSign申請SSL證書。

⑺ 請問在RSA演算法中，如何將已存在的公鑰,私鑰傳入演算法呢 Java SE

讀公鑰密鑰庫是用keytool生成的,用的類都是java.security.*的) String keyfile = "D:\\ttt\\server.jks "; //密鑰庫路徑 String keyalias = "alice "; //密鑰庫別名 char[] keypassword = "password ".toCharArray(); //密鑰庫密碼 KeyStore keystore = KeyStore.getInstance( "JKS "); FileInputStream fis = new FileInputStream(keyfile); keystore.load(fis, keypassword); Key pubKey = keystore.getKey(keyalias, keypassword); 取私鑰: KeyStore keystore = KeyStore.getInstance( "JKS "); FileInputStream fis = new FileInputStream(keyfile); keystore.load(fis, keypassword); KeyStore.PrivateKeyEntry pkEntry = (KeyStore.PrivateKeyEntry) keystore.getEntry(keyalias, new KeyStore.PasswordProtection(keypassword)); PrivateKey myPrivateKey = pkEntry.getPrivateKey();

⑻ 如何使用keytool查看CERT.RSA文件和keystore文件內容

1、查看keystore文件內容：

要查看證書keystore中的信息，請運行以下命令：

keytool -list -v -keystore [enter keystore name] -storepass [enter keystore password]
如下：
zr@zr-PC:~/workspace$ keytool -list -v -keystore my_keystore -storepass 123456

密鑰庫類型: JKS
密鑰庫提供方: SUN

您的密鑰庫包含 1 個條目

別名: zr
創建日期: 2014-10-14
條目類型: PrivateKeyEntry
證書鏈長度: 1
證書[1]:
所有者: CN=zeng run, L=Beijing
發布者: CN=zeng run, L=Beijing
序列號: 58ec916d
有效期開始日期: Tue Oct 14 16:19:26 CST 2014, 截止日期: Sat Oct 08 16:19:26 CST 2039
證書指紋:
MD5: C4:73:2F:59:F5:CA:76:C1:10:59:98:E8:F9:23:9E:9E
SHA1: 16:90:E7:D3:E8:ED:9D:E0:5E:47:9A:3B:D4:D4:8E:D0:40:AF:BD:23
SHA256: FF:0F:AF:A5:FA:8F:A8:25:8D:8D:E7:17:08:71:46:CD:60:F1:44:F0:88:81:6F:3E:7B:61:AC:8F:B0:7D:17:CC
簽名演算法名稱: SHA256withRSA
版本: 3

擴展:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: E6 61 76 EB C6 99 7D 4B F6 B5 75 AD E1 FA 63 E5 .av....K..u...c.
0010: 3C D4 BC 5F <.._
]
]

⑼ 如何指定 https的加密演算法

一般採用SHA 256 RSA加密演算法，如果需要ECC演算法，好像證書頒發機構GDCA也可以指定演算法，你把自己的需求問下他們技術客服。