前言

keytool 是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书，用于（通过数字签名）自我认证（用户向别的用户/服务认证自己）或数据完整性以及认证服务。它还允许用户储存他们的通信对等者的公钥（以证书形式）。下面简单介绍一下Keytool工具的几个基本命令。

创建证书库文件并生成证书

keytool -genkeypair -alias test -storetype PKCS12 -keyalg RSA -keystore test.jks -storepass 12345678 -validity 3650 -keysize 2048

参数说明：
-alias test 条目名test
-keyalg RSA 加密算法RSA
-keysize 2048 密钥长度
-keystore test.keystore 密钥文件存储路径
-validity 3650 有效期3650天,默认90天

可以在jks文件中添加多个密钥,只需条目名不同即可

如：创建test1并指定证书开始时间2020年5月1日，有效期1年

keytool -genkeypair -alias test1 -storetype PKCS12 -keyalg RSA -keystore ./test.jks -storepass 12345678 -startdate 2020/05/01 -validity 365

创建test2并指定使用者为cn=test2,o=test2,c=cn

keytool -genkeypair -alias test2 -storetype PKCS12 -keyalg RSA -keystore ./test.jks -storepass 12345678 -dname "cn=test2,o=test2,c=cn"

查看证书库

通过keytool -list查看证书库中内容(可通过-alias指定显示哪个条目)

keytool -list -keystore test.jks -storepass 12345678

keytool -list -rfc -keystore test.jks -storepass 12345678 以RFC形式输出

keytool -list -v -keystore test.jks -storepass 12345678 详细输出

删除证书条目

keytool -delete -keystore test.jks -storepass 12345678 -alias test2

再次查看证书库可以看到test2条目已经没有了

导出证书

keytool -exportcert -alias test -keystore test.jks -storepass 12345678 -file test.cer

该证书为一张自签名证书

查看证书

keytool -printcert -file test.cer

keytool -printcert -rfc -file test.cer

keytool -printcert -v -file test.cer

生成证书请求

keytool -certreq -alias test1 -keystore test.jks -storepass 12345678 -file test1.csr

利用csr证书请求签发证书

keytool -gencert -keystore test.jks -storepass 12345678 -alias test -infile test1.csr -outfile test1.cer

可以看到test1的颁发者是test

导入证书

可以将颁发的test1.cer导入证书库将原来的test1覆盖

keytool -importcert -file test1.cer -alias test1 -keystore test.jks -storepass 12345678

以上为Keytool工具的基本用法

Keytool常用命令

Keytool工具综合使用

利用Keytool生成多级证书链

之前的博客已经记录，地址如下：https://www.cnblogs.com/werr370/p/14678983.html

利用Keytool实现tomcat双向SSL连接

之前的博客已经记录，地址如下：https://www.cnblogs.com/werr370/p/14637351.html