keytool算法

⑴ java数据证书管理工具keytool怎么看生成成功了

下面产生一个自签证书。安装完J2SDK（这里用的是J2SDK1.4）后，在J2SDK安装目录的bin目录下，有一个keytool的可执行程序。利用keytool产生自签证书的步骤如下：

第一步，用-genkey命令选项，产生公私密钥对。在控制台界面输入：keytool -genkey -alias testkeypair -keyalg RSA -keysize 1024 -sigalg MD5withRSA。这里的-alias表示使用这对公私密钥产生新的keystore入口的别名(keystore是用来存放管理密钥对和证书链的，缺省位置是在使用者主目录下，以.keystore为名的隐藏文件，当然也可指定某个路径存放.keystore文件)；-keyalg是产生公私钥对所用的算法，这里是RSA；-keysize定义密钥的长度；-sigalg是签名算法，选择MD5withRSA，即用RSA签名，然后用MD5哈希算法摘要。接下来，系统会提示进行一些输入：

输入keystore密码： abc123
您的名字与姓氏是什么？
[Unknown]： Li
您的组织单位名称是什么？
&nbs

⑵ APP为什么签名，使用keytool jarsigner进行签名

签名(sign)：在应用程序的特定字段写入特定的标记信息，表示该软件已经通过了签署者的审核。过程：使用私有密钥数字地签署一个给定的应用程序
作用：
识别应用程序作者
检测应用程序是否发生改变
有种程序升级，当新程序与旧程序签名不一致时，会发生冲突认为不是同一APP,，要求新程序改包名
。。。
keytool 生成签名私钥命令
keytool -genkey -v -keyalg DSA -keysize 1024 -sigalg SHA1withDSA -validity 10000 -keystore Test.keystore -alias devel -keypass 123456 -storepass 123456

Keytool 选项
描述

-genkey 产生一个键值对（公钥和私钥）
-v 允许动作输出
-alias<alias_name> 键的别名。只有前八位字符有效。
-keyalg 产生键的 加密 算法。支持DSA和RSA。
-keysize 产生键的长度。如果不支持，keytool用默认值1024 bits.通常我们用2048 bits 或更长的key。
-dname
专有名称，描述谁创建的密钥。该值被用作自签名证书的颁发者和主题字段。注意可以不在命令行指定。如果没有指定keytool会提示(CN, OU, and so on)。

-keypass
键的密码。
主要为了安全起见，如果没提供，keytool会提示你输入。

-validity
键的有效期，单位：天
Note: A value of 10000 or greater is recommended.

-keystore.keystore 用于存储私钥的文件。
-storepass
私钥存储文件的密码。
主要为了安全起见，如果没提供，keytool会提示你输入。这个密码不会存储在你的shell历史记录中。

jarsigner使用私钥签名
jarsigner -verbose -sigalg SHA1withDSA -digestalg SHA1 -keystore Test.keystore -storepass 123456 test.apk devel
参数：

Jarsigner 选项
描述

-keystore.keystore 包含你私钥的存储文件
-verbose 显示输出动作。
-sigalg 签名算法，用 SHA1withRSA .
-digestalg 消息摘要算法，用 SHA1 .
-storepass
存储文件的密码。
主要为了安全起见，如果没提供，jarsigner会提示你输入。这个密码不会存储在你的shell历史记录中。

-keypass
私钥的密码。
主要为了安全起见，如果没提供，jarsigner会提示你输入。这个密码不会存储在你的shell历史记录中。

⑶ 如何使用keytool创建密钥仓库

一步：生成密钥对
您首先要做的是创建一个密钥仓库和生成密钥对。您可以使用以下命令：
keytool -genkey -keyalg RSA -keysize 512 -dname "cn=hyq,o=eagle,c=cn" -alias weblogic -keypass 123456 -keystore C:/mykeystore/weblogic.jks -storepass 123456 -validity 365
（请注意：键入该命令时必须使其成为一行。此处用多行来显示，主要是为了可读性。）如下图：
Snap2.gif

该命令将在 C 盘的 “mykeystore” 目录中创建名为 “weblogic.jks” 的密钥仓库，并赋予它口令 “ 123456 ” 。它将为实体生成公钥 / 私钥对，该实体的 “ 特征名 ” 为：常用名 “hyq” 、组织 “eagle” 和两个字母的国家代码 “cn” 。“ -keyalg ”指定它使用的是那种密钥生成算法来创建密钥，缺省的是 “DSA” 密钥生成算法（会使用缺省的 “ 带 DSA 的 SHA1” 签名算法），两个密钥（公钥与私钥）的长度是 512 位，由 -keysize 来指定，默认的是 1024 位。 该证书包括公钥和特征名信息。该证书的有效期为 365 天，由 -validity 来指定，且与别名 “business” 所代表的密钥仓库项关联。私钥被赋予口令 “ 123456 ” 。

命令行里 DName 信息注解

DN 信息域
含义
CN
域名或 IP
OU
部门，没有部门的可不要此项
O
单位名称
L
单位地址
S
省份的拼音（第一个字母大写）
C
国家的简写 （ CN 代表中国）

如果采用选项的缺省值，可以大大缩短该命令。实际上，这些选项并不是必需的；对于有缺省值的选项，未指定时将使用缺省值，对于任何被要求的值，您将会得到要求输入它的提示。例如：输入命令 keytool -genkey -keystore "C:/tone.jks" -storepass 123456 -keyalg RSA ，就会有如下提示：
Snap3.gif

注意：这里的 密钥仓库路径一定要存在，如果不存在的话，它就会抛如下的异常
Snap4.gif
第二步 : 产生证书请求certreq.pem 文件
使用如下命令：
keytool -certreq -alias weblogic -sigalg "MD5withRSA" -file C:/mykeystore/certreq.pem -keypass 123456 -keystore C:/mykeystore/weblogic.jks -storepass 123456
Snap5.gif
这样在 C:/mykeystore/ 目录下 就会产生一个 certreq.pem 文件，内容如下：
-----BEGIN NEW CERTIFICATE REQUEST-----
lxMFww
+
EAYRNl
l5dyGgV9hhu++/
ItNKJw==
-----END NEW CERTIFICATE REQUEST-----

第三步：这就相对来说简单多了，就是向CA提交证书请求。
你可以随便从网上找一家免费的CA认证适用机构（很多的），然后按照上面的提示进行操作就可以了，这一步就要用到前面生成的certreq.pem 文件了。（注意：一定要下载根证书）
将生成的证书和下载的根证书放至你比较容易找到的位置，我一般将它们和生成的jks文件放到一起。

第四步：导入证书
通过命令：keytool -import -alias RootCA -trustcacerts -file C:/mykeystore/RootCADemo.cer -keystore C:/mykeystore/weblogic.jks -storepass 123456将根证书导入第一步生成的weblogic.jks中，接着将所有其它的证书按照此命令全部导入。（注意证书的别名不能重复，同时一定注意要用上 -trustcacerts，否则，你在以后使用时，它将会认为你导入的这些证书是不可信任的 ，就会导致你在配置SSL时不能正常的工作。）
这就全部完成了密钥仓库的创建。然后就可以在支持这些证书格式的服务器上使用了。下一篇将会写一下在weblogic上如何配置双向SSL。

⑷ keytool 的问题

Keytool 是安全钥匙与证书的管理工具.它管理一个存储了私有钥匙和验证相应公共钥匙的与它们相关联的X.509 证书链的keystore(相当一个数据库).
Keytool 是一个有效的安全钥匙和证书的管理工具. 它能够使用户使用数字签名来管理他们自己的私有/公共钥匙对,管理用来作自我鉴定的相关的证书,管理数据完整性和鉴定服务.它还能使用户在通信时缓存它们的公共钥匙.
一个证书是某一实体(个人,公司等)的数字签名,指出其他实体的公共钥匙(或其他信息)的详细的值.当数据被签名后,这个签名信息被用来检验数据的完整性和真实性.完整性指数据没有被修改和篡改,真实性指数据从任何产生和签名的一方真正的传输到达.
Keytool 把钥匙和证书储存到一个keystore.默任的实现keystore的是一个文件.它用一个密码保护钥匙.
而另外的一个工具jarsigner用keystore中的信息产生或检验Java aRchive(jar文件)中的数字签名.
Keystore有两个不同的入口:
1.钥匙入口:保存了非常敏感的加密的钥匙信息,并且是用一个保护的格式存储以防止未被授权的访问.以这种形式存储的钥匙是秘密钥匙,或是一个对应证书链中公有钥匙的私有钥匙.
2.信任证书入口:包含一个属于其他部分的单一公共钥匙证书.它之所以被称为"信任证书",是因为keystore信任的证书中的公共钥匙真正属于证书所有者的身份识别.
Keystore的别名:
所有的keystore入口(钥匙和信任证书入口)是通过唯一的别名访问.别名是 不区分大小写的.如别名Hugo和hugo指向同一个keystore入口.
可以在加一个入口到keystore的时候使用-genkey参数来产生一个钥匙对(公共钥匙和私有钥匙)时指定别名.也可以用-import参数加一个证书或证书链到信任证书.
如:
keytool -genkey -alias ke -keypass kekeypasswd
其中ke为别名,kekeypasswd为ke别名的密码.这行命令的作用是产生一个新的公共/私有钥匙对.
假如你想修改密码,可以用:
keytool -keypasswd -alias ke -keypass kekeypasswd -new newpass
将旧密码kekeypasswd改为newpass.

Keystore的产生:
1.当使用-genkey 或-import或-identitydb命令添加数据到一个keystore,而当这个keystore不存在时,产生一个keystore.默认名是.keystore,存放到user-home目录.
2.当用-keystore指定时,将产生指定的keystore.
Keystore的实现:
Keytool 类位于java.security包下,提供一个非常好的接口去取得和修改一个keystore中的信息. 目前有两个命令行:keytool和jarsinger,一个GUI工具Policy 可以实现keystore.由于keystore是公开的,用户可以用它写一些额外的安全应用程序.
Keystore还有一个sun公司提供的内在实现.它把keystore作为一个文件来实现.利用了一个keystore类型(格式)"JKS".它用单独的密码保护每一个私有钥匙.也用可能不同的密码保护整个keystore的完整性.
支持的算法和钥匙大小:
keytool允许用户指定钥匙对和注册密码服务供应者所提供的签名算法.缺省的钥匙对产生算法是"DSA".假如私有钥匙是"DSA"类型,缺省签名算法是"SHA1withDSA",假如私有钥匙是"RSA"类型,缺省算法是"MD5withRSA".
当产生一个DSA钥匙对,钥匙必须在512-1024位之间.对任何算法的缺省钥匙大小是1024位.
证书:
一个证书是一个实体的数字签名,指出其他实体的公共钥匙有明确的值.
1.公共钥匙 :是同一个详细的实体的数字关联,并有意让所有想同这个实体发生信任关系的其他实体知道.公共钥匙用来检验签名;
2.数字签名:假如数据已被签名,并用身份存储在一个实体中,一个签名能够证明这个实体知道这个数据.这个数据用实体私有钥匙签名并递交;
3.身份:知道实体的方法.在一些系统中身份是公共钥匙,其他系统中可以是从一个X.509名字的邮件地址的Unix UID来的任何东西;
4.签名:一个签名用用实体私有钥匙来计算某些加密数据;
5.私有钥匙:是一些数字,每一个私有钥匙只能被特定的拥有该私有钥匙的实体知道.私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中.一个公共钥匙加密(如DSA),一个私有钥匙与一个正确的公共钥匙通信.私有钥匙用来计算签名.
6.实体:一个实体可以是一个人,一个组织,一个程序,一台计算机,一个商业,一个银行,或其他你想信任的东西.

Keytool应用实例:
1.产生一个keystore:
keytool -genkey -alias User(keystore的别名) -keyalg RSA -validity 7 -keystore keystore(指定keystore).
运行这个命令,系统提示:
Enter keystore password:yourpassword(输入密码)
What is your first and last name?
[Unknown]: your name(输入你的名字)
What is the name of your organizational unit?
[Unknown]:your organizational(输入你所在组织单位的名字)
What is the name of your organization?
[Unknown]:your organization name (输入你所在组织的名字)
What is the name of your City or Locality?
[Unknown]:your city name(输入所在城市的名字)
What is the name of your State or Province?
[Unknown]:your provice name(输入所在省份名字)
What is the two-letter country code for this unit?
[Unknown]:cn(输入国家名字)
Is CN=your name, OU=your organizaion, O="your organization name",
L=your city name, ST=your province name, C=cn correct?
[no]: yes

2.检查一个keystore:
keytool -list -v -keystore keystore
Enter keystore password:your password(输入密码)
将显示keystore内容如:
Keystore type: jks
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: yourname
Creation date: Dec 20, 2001
Entry type: keyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=yourname, OU=your organization, O="your organization name",
L=your city name, ST=your province name, C=CN
Issuer: CN=Duke, OU=Java Software, O="Sun Microsystems, Inc.", L=Palo Alto, ST=CA, C=US
Serial number: 3c22adc1
Valid from: Thu Dec 20 19:34:25 PST 2001 until: Thu Dec 27 19:34:25 PST 2001
Certificate fingerprints:
MD5: F1:5B:9B:A1:F7:16:CF:25:CF:F4:FF:35:3F:4C:9C:F0
SHA1: B2:00:50:DD:B6:CC:35:66:21:45:0F:96:AA:AF:6A:3D:E4:03:7C:74
3.输出keystore到一个文件:testkey:
keytool -export -alias ke -keystore keystore -rfc -file testkey
系统输出:
Enter keystore password:your password(输入密码)
Certificate stored in file
4.输入证书到一个新的truststore:
keytool -import -alias kecert -file testkey -keystore truststore
Enter keystore password:your new password.(输入truststore新密码)

5.检查truststore:
keytool -list -v -keystore truststore
系统将显示truststore的信息.
现在可以用适当的keystore运行你的应用程序.如:
java -Djavax.net.ssl.keyStore=keystore -Djavax.net.ssl.keyStorePassword=password Server
和: java -Djavax.net.ssl.trustStore=truststore
-Djavax.net.ssl.trustStorePassword=trustword Client

⑸ 如何查看apk和签名文件的签名信息

1.通过apktool工具解压当前apk(比如：demo.apk)，解压后，会生成CERT.RSA文件

**** apktool d demo.apk

备注：通过这种方式解压出来的Androidmenifest.xml文件可以通过文件编辑器打开查看；

2.通过keytool命令获取签名信息

**** keytool -printcert -file C:\Android\soft\apktool\demo\original\META-INF\CERT.RSA所有者: CN=ryt, OU=ryt, O=ryt, L=nanjing, ST=china, C=cn
发布者: CN=ryt, OU=ryt, O=ryt, L=nanjing, ST=china, C=cn
序列号: 12893889
有效期开始日期:
证书指纹:
MD5: 1A:0F:52:94:8D:DB:7A:E9:7A:7E:A5:3B:A3:A7:F9:39
SHA1: 89:57:4E:E2:1F:CB:68:CB:66:80:D6:29:57:92:AD:AC:51:4F:76:F2
SHA256: BF:FB:9C:67:E1:7B:49:26:4A:D9:84:9D:48:DA:C1:4F:00:77:74:15:27:90:95:D0:B3:D8:0A:EA:2F:81:F1:B9
签名算法名称: SHA256withRSA
版本: 3

扩展:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: C3 D6 E3 9F C3 F3 1E BE 6E F9 BC 35 6F 8B 21 52 ........n..5o.!R
0010: 12 38 AD BC .8..
]
]
3.查看my.keystore签名文件的签名信息

**** keytool -list -keystore C:\Android\workspace\my.keystore

输入密钥库口令:
密钥库类型: JKS
密钥库提供方: SUN
您的密钥库包含 1 个条目
my, 2016-6-15, PrivateKeyEntry,
证书指纹 (SHA1): 89:57:4E:E2:1F:CB:68:CB:66:80:D6:29:57:92:AD:AC:51:4F:76:F2

⑹ 通过jdk自带keytool生成ssl证书安全吗

自主生成SSL证书不安全，原因有几方面：

1. 自签名证书不受浏览器信任，用户访问部署自签名证书的网站时会被浏览器警告并阻止访问；

2. 自签名证书可以随意签发，不受国际标准监管，你能自己签发，黑客也可以自己签发和你一样的证书用来进行中间人攻击，SSL加密的保护机制形同虚设。

3. 自签名证书可能采用不安全的1024位公钥算法或SHA-1摘要算法等已经过时的标准，非常容易被破解。

使用SSL证书主要是为了通过SSL加密验证机制保护数据传输安全，如果使用自签名证书完全无法起到安全保护的作用，最好是向浏览器信任的证书颁发机构沃通WoSign申请SSL证书。

⑺ 请问在RSA算法中，如何将已存在的公钥,私钥传入算法呢 Java SE

读公钥密钥库是用keytool生成的,用的类都是java.security.*的) String keyfile = "D:\\ttt\\server.jks "; //密钥库路径 String keyalias = "alice "; //密钥库别名 char[] keypassword = "password ".toCharArray(); //密钥库密码 KeyStore keystore = KeyStore.getInstance( "JKS "); FileInputStream fis = new FileInputStream(keyfile); keystore.load(fis, keypassword); Key pubKey = keystore.getKey(keyalias, keypassword); 取私钥: KeyStore keystore = KeyStore.getInstance( "JKS "); FileInputStream fis = new FileInputStream(keyfile); keystore.load(fis, keypassword); KeyStore.PrivateKeyEntry pkEntry = (KeyStore.PrivateKeyEntry) keystore.getEntry(keyalias, new KeyStore.PasswordProtection(keypassword)); PrivateKey myPrivateKey = pkEntry.getPrivateKey();

⑻ 如何使用keytool查看CERT.RSA文件和keystore文件内容

1、查看keystore文件内容：

要查看证书keystore中的信息，请运行以下命令：

keytool -list -v -keystore [enter keystore name] -storepass [enter keystore password]
如下：
zr@zr-PC:~/workspace$ keytool -list -v -keystore my_keystore -storepass 123456

密钥库类型: JKS
密钥库提供方: SUN

您的密钥库包含 1 个条目

别名: zr
创建日期: 2014-10-14
条目类型: PrivateKeyEntry
证书链长度: 1
证书[1]:
所有者: CN=zeng run, L=Beijing
发布者: CN=zeng run, L=Beijing
序列号: 58ec916d
有效期开始日期: Tue Oct 14 16:19:26 CST 2014, 截止日期: Sat Oct 08 16:19:26 CST 2039
证书指纹:
MD5: C4:73:2F:59:F5:CA:76:C1:10:59:98:E8:F9:23:9E:9E
SHA1: 16:90:E7:D3:E8:ED:9D:E0:5E:47:9A:3B:D4:D4:8E:D0:40:AF:BD:23
SHA256: FF:0F:AF:A5:FA:8F:A8:25:8D:8D:E7:17:08:71:46:CD:60:F1:44:F0:88:81:6F:3E:7B:61:AC:8F:B0:7D:17:CC
签名算法名称: SHA256withRSA
版本: 3

扩展:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: E6 61 76 EB C6 99 7D 4B F6 B5 75 AD E1 FA 63 E5 .av....K..u...c.
0010: 3C D4 BC 5F <.._
]
]

⑼ 如何指定 https的加密算法

一般采用SHA 256 RSA加密算法，如果需要ECC算法，好像证书颁发机构GDCA也可以指定算法，你把自己的需求问下他们技术客服。