第五章 数字证书的创建.ppt

第五章 数字证书的创建 主要内容 使用keytool工具创建数字证书 使用keytool工具和JAVA程序读取并显示数字证书 使用keytool工具和JAVA程序维护密钥库 使用JAVA程序签发数字证书 对单个数字证书进行初步检验 使用默认的密钥库和算法创建数字证书 创建证书使用参数keytool -genkey 以上生成的公钥、私钥和证书都保存在用户的主目录中创建的一个默认文件“keystore”中。该文件一般保存在“c:\Documents and Setting\用户名” 由于“keystore”中包含了私钥，所以是一个需要必威体育官网网址的文件，因此上述操作第一次使用需要设置一个密码，下次在使用这个密钥库时必须提供这个密码才能进入。 一个密钥库可以存放多个密钥，每个密钥以别名作为区分，若没有说明，默认别名是mytest.每个别名可以设置一个密码来保护。是 使用别名 密钥库可以存放多个条目（公钥、私钥对和证书），它们在密钥库中以别名区分。在上节中没有指定别名，因此系统使用了默认的别名mykey.当密钥库中有多个公钥、私钥对和证书时，应该使用别名-alias。 例：keytool -genkey -alias xuyingxiao2 例 使用指定的算法和密钥库和有效期 Keytool中的-keyalg参数可以指定密钥的算法，如果需要指定密钥的长度，可以再加上-keysize参数。密钥长度默认为1024位，使用DSA算法时，密钥长度必须再512－1024之间，并且是64的整数倍。 -keystore参数可以指定密钥库的名称，密钥库其实是存放密钥和证书的文件，密钥库对应的文件不存在则自动创建。 -validity参数可以指定所创建的证书的有效期是多少天。 例 使用非交互模式 还可以使用非交互模式来指定所有信息创建公钥、私钥对和证书。 密钥库的密码：用-storepass来指定 别名条目的密码：用-keypass来指定 证书拥有者的信息：用-dname来指定 例 keytool -genkey -dname CN=tmp, OU=NC, O=Shanghai University, L=ZB, ST=Shanghai, C=CN -alias tmp -keyalg RSA -keystore mykeystore -keypass wshr.ut -storepass wshr.ut -validity 1000 数字证书的显示 1、使用keytool直接从密钥库显示条目信息 参数-list可以显示密钥库中的证书信息 2、使用直接从密钥库中显示证书详细信息 -v参数可以显示证书的详细信息 3、使用keytool将证书导出到文件 使用-export参数可以将指定别名的证书导出到文件，文件名通过-file参数指定。若加-rfc,则可以使用一种可打印的编码格式来保存证书。 4、使用keytool从文件中显示证书 使用keytool的－printcert参数可以将导出的证书文件详细内容显示出来，文件名通过-file参数指定。 5、在windows从文件显示证书 使用keytool直接从密钥库显示条目信息 -v参数可以显示证书的详细信息 使用-export导出证书 例：使用keytool从文件中显示证书 JAVA程序从证书文件读取证书 编程思路： （1）获取CertificateFactory类型的对象 （2）获取证书文件输入流 （3）生成Certificate类型的对象 （4）显示证书内容 例：java PrintCert mytest.cer 将创建文件tmp.txt JAVA程序从密钥库中直接读取证书 编程思路： （1）创建密钥库的文件输入流 （2）创建Keystore对象 （3）加载密钥库 （4）获取密钥库中的证书 例：java PrintCert2 可以使用java PrintCert2tmp2.txt将输出重定向到文件tmp2.txt中 例 JAVA程序显示证书指定信息 上节显示了证书的全部信息，这里介绍如何从证书中只提取所需要的信息。 编程思路： （1）获取证书 （2）将证书转换为X509类型 （3）获取版本号 （4）获取序列号 （5）获取主体和签发者的全名 （6）获取证书的有效期 （7）获取证书的签名算法 （8）获取证书的签名 （9）获取证书的公钥 java ShowCertInfo mytest.cer tt.txt 例： 密钥库的维护 1、删除指定条目 -delete可以删除密钥库中的条目 先执行5.3.1.bat文件，在密钥库mykeystore中创建一个临时条目tmp1. 再在mykeystore文件所在的目录中执行： Keytool –list –keystore mykeystore –storepass ws