JavaKeyStore的类型.docVIP

Java KeyStore的类型 　　JKS和JCEKS是Java密钥库(KeyStore)的两种比较常见类型(我所知道的共有5种，JKS, JCEKS, PKCS12, BKS，UBER)。 JKS的Provider是SUN，在每个版本的JDK中都有。 JCEKS的Provider是SUNJCE，1.4后我们都能够直接使用它。JCEKS在安全级别上要比JKS强，使用的Provider是JCEKS(推荐)，尤其在保护KeyStore中的私钥上（使用TripleDes）。 　　PKCS#12是公钥加密标准，它规定了可包含所有私钥、公钥和证书。其以二进制格式存储，也称为 PFX 文件，在windows中可以直接导入到密钥区，注意，PKCS#12的密钥库保护密码同时也用于保护Key。 　　BKS 来自BouncyCastle Provider，它使用的也是TripleDES来保护密钥库中的Key，它能够防止证书库被不小心修改（Keystore的keyentry改掉1个 bit都会产生错误），BKS能够跟JKS互操作，读者可以用Keytool去TryTry。 　　UBER比较特别，当密码是通过命令行提供的时候，它只能跟keytool交互。整个keystore是通过PBE/SHA1/Twofish加密，因此keystore能够防止被误改、察看以及校验。以前，Sun JDK(提供者为SUN)允许你在不提供密码的情况下直接加载一个Keystore，类似cacerts，UBER不允许这种情况。 1、生成服务器端证书： keytool -genkey -v -alias server -keyalg RSA -keystore D:\apache-tomcat\apache-tomcat-6.0.20.8443\server.keystore -dname CN=192.168.1.105,OU=xxxx.net,O=soa,L=HF,ST=AH,C=CN -validity 3650 -storepass friendone -keypass password  2、导出服务端证书： keytool -export -alias server -keystore D:\apache-tomcat\apache-tomcat-6.0.20.8443\server.keystore -storepass friendone -rfc -file D:\apache-tomcat\apache-tomcat-6.0.20.8443\server.cer  3、生成客户端证书：keytool -genkey -v -alias client -keyalg RSA -storetype PKCS12 -keystore D:\apache-tomcat\apache-tomcat-6.0.20.8443\client.p12 -dname CN=192.168.1.105,OU=xxxx.net,O=soa,L=HF,ST=AH,C=CN -validity 3650 -storepass password -keypass password4、导出客户端证书： keytool -export -alias client -keystore D:\apache-tomcat\apache-tomcat-6.0.20.8443\client.p12 -storetype PKCS12 -storepass password -rfc -file D:\apache-tomcat\apache-tomcat-6.0.20.8443\client.cer  5、把客户端证书加入服务端证书信任列表： keytool -import -alias client -v -file D:\apache-tomcat\apache-tomcat-6.0.20.8443\client.cer -keystore D:\apache-tomcat\apache-tomcat-6.0.20.8443\server.keystore -storepass password  生成客户端信任列表：keytool -import -file D:\apache-tomcat\apache-tomcat-6.0.20.8443\server.cer -storepass password -keystore D:\apache-tomcat\apache-tomcat-6.0.20.8443\client.truststore -alias server -noprompt Keytool 是安全钥匙与证书的管理工具.它管理一个存储了私有钥匙和验证相应公共钥匙