一、keytool 密钥和证书管理工具

Keytool将密钥（key）和证书（certificates）存在一个称为keystore的文件中。

在keystore里，包含两种数据： 密钥实体（Key entity）——密钥（secret key）又或者是私钥和配对公钥（采用非对称加密）

可信任的证书实体（trusted certificate entries）——只包含公钥

Alias（别名），每个keystore都关联这一个独一无二的alias，这个alias通常不区分大小写

它使用户能够管理自己的

公钥/私钥对及相关证书，用于（通过数字签名）自我认证（用户向别的用户/服务认证自己）或数据完整性以及认证服务。它还允许用户储存他们的通信对等者的公钥（以证书形式）。

我的理解就是：

当外面系统要访问我们的系统的时候，就需要给出双方彼此信任的证书,证书里面就包含了外部系统的个人信息，例如：公司名称、公司地址、密码等。

Keytool把钥匙和证书储存到一个keystore，默任实现keystore的是一个文件，它用一个密码保护钥匙.。只有这些信息对应上了，我们的系统才可放行，让外部系统进入到我们的系统内，并进行相关的业务操作。

数字证书

所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中，证书库中的一条证书包含该条证书的私钥，公钥和对应的数字证书的信息。

证书库中的一条证书可以导出数字证书文件，数字证书文件只包括主体信息和对应的公钥。

证书概念

一个证书是一个实体的数字签名,还包含这个实体的公共钥匙值.   

1) 公共钥匙 :是一个详细的实体的数字关联,并有意让所有想同这个实体发生信任关系的其他实体知道.公共钥匙用来检验签名;        

2) 数字签名:是实体信息用实体的私有钥匙签名（加密）后的数据.这条数据可以用这个实体的公共钥匙来检验签名（解密）出实体信息以鉴别实体的身份;              

3) 签名:用实体私有钥匙加密某些消息，从而得到加密数据;      

4) 私有钥匙:是一些数字,私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中。

公共钥匙用来加密数据，私有钥匙用来计算签名.

公钥加密的消息只能用私钥解密，私钥签名的消息只能用公钥检验签名。        

5) 实体:一个实体可以是一个人,一个组织,一个程序,一台计算机,一个商业,一个银行,或其他你想信任的东西. 

keytool是一个工具可以用来创建包含公钥和密钥的的keystore文件，并且利用keystore文件来创建只包含公钥的truststore文件。

二、生成一个keystone

# keytool  \

-genkeypair \

-keystore keystone.jks  \

-alias  certificatekey  \

-keypass 123456 \

-storepass 123456 \

-keyalg RSA \

-keysize 2048 \

-validity 5000 \

-dname "CN=*.example.com,OU=Test,O=Test,L=ShenZhen,ST=GuangDong,C=CN" \

-ext "SAN=DNS:www.example.com,IP:192.168.1.105"  \

-ext "BC=ca:true"

查看keystone

# keytool -list -v -keystore keystone.jks -storepass "123456"

默认，-list 命令打印证书的 MD5 指纹。

如果指定了 -v 选项，将以可读格式打印证书，如果指定了 -rfc 选项，将以可打印的编码格式输出证书。

# keytool -list  -rfc -keystore  keystone.jks  -storepass "123456"

证书的导出

#  keytool  -export -alias certificatekey  -keystore keystone.jks  -file  selfsignedcert.crt  --storepass "123456"

查看导出的证书信息 

# keytool -printcert -file selfsignedcert.crt

# keytool -printcert -file selfsignedcert.crt -rfc

三、证书导入

生成一个用于导入的证书

# keytool-genkeypair \

-alias  nginx \

-keypass 123456 \

-keyalg RSA \

-keysize 1024 \

-validity 365 \

-keystore  nginx.jks  \

-storepass 123456 \

-dname "CN=Test,OU=Test, O=Test, L=Test,ST=Test,C=CN"

导出 别名为nginx的nginx.jks条目

# keytool  -keystore nginx.jks   -storepass "123456" -export -alias nginx  -file  nginx.crt

将nginx.crt 加入到keestone.jks

# keytool  -import -alias nginx  \

-file nginx.crt  \

-keypass 123456 \

-keystore keystone.jks  \

-storepass "123456"

#  keytool -list  -v -keystore keystone.jks  -storepass  "123456"

密钥库类型: JKS

密钥库提供方: SUN

您的密钥库包含 2 个条目

三、证书条目的删除和密码修改

证书条目的删除

#  keytool -delete  -alias   certificatekey  -keystore keystone.jks   -storepass 123456

证书条目口令的修改

# keytool -keypasswd  -alias  nginx  \

 -keypass 123456(原始密码)  \

-new 654321(别名的新密码)  \

-keystore  keystone.jks \

 -storepass 123456

keystore口令的修改

# keytool  -storepasswd  -keystore keystone.jks(需修改口令的keystore)  -storepass 123456(原始密码)  -new 1008610(新密码)

修改keystore中条目的信息

# keytool -selfcert   -alias  nginx \

-keypass 123456 \

-keystore nginx.jks  \

-storepass 123456 \

-dname "CN=*.example.com,OU=test,O=test,L=ShenZhen,ST=GuangDong,C=CN"

只能修改原来的 nginx.jks中的 nginx条目，无法修改导入到 keystone.jks中的nginx条目！

以上就是keytool的相关概念和基本用法了。现在我们应该明白了证书里面是包含什么东西了，无非就是对商家的信息进行加密，然后凭借着加密过的证书来互相之间的识别。

在我们的系统中，我们一般会把证书放到接口所在的服务器，因为我们的系统是分布式架构，所以可能对于不同的业务会部署在不同的服务器上。

正常情况下，证书的认证就是需要接口的相关方法来识别的，所以我们就是将证书存放在了与接口所部署的服务器上，这样，只要有第三方访问我们的系统，我们就可以先验证他们的证书，只有证书正确了我们才可放行，这也是为了安全而考虑的。

四、参考

Generating a Java keystore and key pair using the keytool command

https://www.ibm.com/support/knowledgecenter/en/SSFUEU_6.2.0/com.ibm.swg.ba.cognos.administrators_guide.6.2.0.doc/t_shi_generate_a_keystore_and_key_pair.html

 How to use keytool and openssl

https://www.zybuluo.com/torresdyl/note/520486

Java keytool的要领：使用Java密钥库工作

https://www.howtoing.com/java-keytool-essentials-working-with-java-keystores

Java Keytool Essentials: Working with Java Keystores

https://www.digitalocean.com/community/tutorials/java-keytool-essentials-working-with-java-keystores