java CA证书制作和代码中使用

- 日理万妓 2022-11-11 13:19 252阅读 0赞

Keytool 是一个[Java][] 数据证书的管理工具 ,Keytool 将密钥（key）和证书（certificates）存在一个称为keystore的文件中 在keystore里，包含两种数据：

*  密钥实体（Key entity）——密钥（secret key）又或者是私钥和配对公钥（采用非对称加密） 
 *  可信任的证书实体（trusted certificate entries）——只包含公钥

ailas(别名)每个keystore都关联这一个独一无二的alias，这个alias通常不区分大小写

# 操作环境 window10 cmd #

### 证书制作 ###

> `xxx.keystore`是秘钥库，存储了**公钥和私钥**信息，一个秘钥库可以存储多对的**密钥对**（密钥对可以理解为就是证书），通过`alias`别名来取出需要的密钥对。`xxx.cer`证书只能存储公钥，可以从`xxxx.keystore`中导出某个密钥对的公钥证书。

生成keystore

//创建一个秘钥库名为，lu.keystore 同时创建一对密钥对，别名是lisi   存入该秘钥库
    PS F:\test\keystore> keytool -genkeypair -alias lisi -keystore lu.keystore -keyalg RSA
    输入密钥库口令:
    再次输入新口令:
    您的名字与姓氏是什么?
      [Unknown]:  li
    您的组织单位名称是什么?
      [Unknown]:  li
    您的组织名称是什么?
      [Unknown]:  li
    您所在的城市或区域名称是什么?
      [Unknown]:  li
    您所在的省/市/自治区名称是什么?
      [Unknown]:  li
    该单位的双字母国家/地区代码是什么?
      [Unknown]:  CN
    CN=li, OU=li, O=li, L=li, ST=li, C=CN是否正确?
      [否]:  y
    
    输入 <lisi> 的密钥口令
            (如果和密钥库口令相同, 按回车):
    PS F:\test\keystore> ls
    
    
        目录: F:\test\keystore
    
    
    Mode                LastWriteTime         Length Name
    ----                -------------         ------ ----
    -a----         2018/7/3     15:07           2181 lu.keystore
            
    //可用命令参数        
            
    # -keyalg  指的是加密算法  证书的加密算法一般是DSA/RSA/EC,一般我们使用的都是RSA
    # -alias   别名
    # -validity指定有效期，单位为天，
    # -keystore  指定秘钥库名称，不指定默认生成.keystore
    # -keysize 秘钥大小  一般是1024和2048
    # -storepass 证书库的使用密码，从里面提取公钥时需要密码
    # -dname ：CN拥有者名字，可以是跟网站相关的信息，如www.baidu.com，OU组织机构名 O组织名 L城市 ST州或省 C国家代码

> 命令执行成功后，会在当前目录生成lu.keystore文件

查看秘钥库信息

PS F:\test\keystore> keytool -list -keystore lu.keystore -v
    输入密钥库口令:
    
    密钥库类型: JKS
    密钥库提供方: SUN
    
    您的密钥库包含 1 个条目
    
    别名: lisi
    创建日期: 2018-7-3
    条目类型: PrivateKeyEntry
    证书链长度: 1
    证书[1]:
    所有者: CN=li, OU=li, O=li, L=li, ST=li, C=CN
    发布者: CN=li, OU=li, O=li, L=li, ST=li, C=CN
    序列号: 38621ae3
    有效期开始日期: Tue Jul 03 15:07:06 CST 2018, 截止日期: Mon Oct 01 15:07:06 CST 2018
    证书指纹:
             MD5: 36:00:EE:28:26:4C:24:15:C7:39:D7:87:84:0D:A9:14
             SHA1: 8C:88:1E:97:DA:49:1F:BA:0E:5F:13:77:7C:6C:F3:F6:13:0C:C1:51
             SHA256: C2:99:AB:0A:66:6E:68:71:EF:A2:A9:1A:8F:07:60:35:18:D2:E1:3F:B1:B9:21:72:D8:3D:51:0C:52:43:DA:81
             签名算法名称: SHA256withRSA
             版本: 3
    
    扩展:
    
    #1: ObjectId: 2.5.29.14 Criticality=false
    SubjectKeyIdentifier [
    KeyIdentifier [
    0000: B5 56 CD 9D 4E 92 84 2C   2B 39 64 14 2C 93 93 28  .V..N..,+9d.,..(
    0010: B4 59 59 EA                                        .YY.
    ]
    ]
    
    
    
    *******************************************
    *******************************************

> 可以看到此时我们的秘钥库库类型是JKS，里有一个密钥对

导出公钥证书

PS F:\test\keystore> keytool -exportcert -alias lisi -keystore lu.keystore -file lisi.cer
    输入密钥库口令:
    存储在文件 <lisi.cer> 中的证书
    PS F:\test\keystore> ls
    
    
        目录: F:\test\keystore
    
    
    Mode                LastWriteTime         Length Name
    ----                -------------         ------ ----
    -a----         2018/7/3     15:16            831 lisi.cer
    -a----         2018/7/3     15:07           2181 lu.keystore

> 将别名为`lisi`的密钥对公钥信息导出到lisi.cer，这便是我们看到的xxx.cer证书了，这个证书可以发布给任何人用于加密信息，而能够解密的`秘钥`保存在我们创建的`lu.keystore`中别名为`lisi`的证书中

使用一个证书给另一个证书签名

> 前面我们生成了一个别名为`lisi`的证书，存储在`lu.keystore`中，接下来再生成一个名为`张三的证书`，也存储到`lu.keystore`中

//步骤同创建lisi一样
    PS F:\test\keystore> keytool -genkeypair -alias zhangsan -keyalg RSA -keystore lu.keystore
    xxxx
    xxxx
    
    //查看此时的秘钥库
    PS F:\test\keystore> keytool -list -keystore lu.keystore -v
    输入密钥库口令:
    
    密钥库类型: JKS
    密钥库提供方: SUN
    
    您的密钥库包含 2 个条目
    
    别名: zhangsan
    创建日期: 2018-7-3
    条目类型: PrivateKeyEntry
    证书链长度: 1
    证书[1]:
    所有者: CN=zh, OU=zh, O=zh, L=zh, ST=zh, C=CN
    发布者: CN=zh, OU=zh, O=zh, L=zh, ST=zh, C=CN
    序列号: 2684e96b
    有效期开始日期: Tue Jul 03 15:24:00 CST 2018, 截止日期: Mon Oct 01 15:24:00 CST 2018
    证书指纹:
             MD5: 8D:EA:0F:F7:E9:9E:41:34:CD:97:0C:C7:29:B5:8D:3F
             SHA1: DF:C7:03:D1:8E:BA:9F:E7:DA:FA:07:2E:57:FC:DB:7F:70:BB:FE:2B
             SHA256: 19:A2:F2:AB:EF:A8:91:89:79:F2:70:17:AA:B5:AD:04:84:3B:D4:49:40:14:C3:C9:AC:20:16:CA:44:95:C7:B9
             签名算法名称: SHA256withRSA
             版本: 3
    
    扩展:
    
    #1: ObjectId: 2.5.29.14 Criticality=false
    SubjectKeyIdentifier [
    KeyIdentifier [
    0000: 4E 24 A9 98 60 E1 7F 46   FC CF 29 1A D3 AE D5 52  N$..`..F..)....R
    0010: D2 B3 B5 31                                        ...1
    ]
    ]
    
    
    
    *******************************************
    *******************************************
    
    
    别名: lisi
    创建日期: 2018-7-3
    条目类型: PrivateKeyEntry
    证书链长度: 1
    证书[1]:
    所有者: CN=li, OU=li, O=li, L=li, ST=li, C=CN
    发布者: CN=li, OU=li, O=li, L=li, ST=li, C=CN
    序列号: 38621ae3
    有效期开始日期: Tue Jul 03 15:07:06 CST 2018, 截止日期: Mon Oct 01 15:07:06 CST 2018
    证书指纹:
             MD5: 36:00:EE:28:26:4C:24:15:C7:39:D7:87:84:0D:A9:14
             SHA1: 8C:88:1E:97:DA:49:1F:BA:0E:5F:13:77:7C:6C:F3:F6:13:0C:C1:51
             SHA256: C2:99:AB:0A:66:6E:68:71:EF:A2:A9:1A:8F:07:60:35:18:D2:E1:3F:B1:B9:21:72:D8:3D:51:0C:52:43:DA:81
             签名算法名称: SHA256withRSA
             版本: 3
    
    扩展:
    
    #1: ObjectId: 2.5.29.14 Criticality=false
    SubjectKeyIdentifier [
    KeyIdentifier [
    0000: B5 56 CD 9D 4E 92 84 2C   2B 39 64 14 2C 93 93 28  .V..N..,+9d.,..(
    0010: B4 59 59 EA                                        .YY.
    ]
    ]
    
    
    
    *******************************************
    *******************************************

> 可以看到此时秘钥库里面已经有两个条目了（两个证书）我们接下来用`lisi`证书给`张三`证书签名（即认证过程）

//创建一个certreq 信息存储在zhangsan.csr
    PS F:\test\keystore> keytool -certreq -alias zhangsan -keystore lu.keystore -file zhangsan.csr
    输入密钥库口令:
    PS F:\test\keystore> ls
    
    
        目录: F:\test\keystore
    
    
    Mode                LastWriteTime         Length Name
    ----                -------------         ------ ----
    -a----         2018/7/3     15:16            831 lisi.cer
    -a----         2018/7/3     15:24           4334 lu.keystore
    -a----         2018/7/3     15:28           1058 zhangsan.csr
    
    //使用创建的zhangsan.csr向lisi发起认证，最终生成需要的证书zhangsan.cer
    PS F:\test\keystore> keytool -gencert -alias lisi -keystore lu.keystore -infile zhangsan.csr -outfile zhangsan.cer
    输入密钥库口令:
    PS F:\test\keystore> ls
    
    
        目录: F:\test\keystore
    
    
    Mode                LastWriteTime         Length Name
    ----                -------------         ------ ----
    -a----         2018/7/3     15:16            831 lisi.cer
    -a----         2018/7/3     15:24           4334 lu.keystore
    -a----         2018/7/3     15:29            864 zhangsan.cer
    -a----         2018/7/3     15:28           1058 zhangsan.csr
    
    //将被认证过的证书zhangsan.cer导入到zhangsan证书中，完成认证
    PS F:\test\keystore> keytool -importcert -alias zhangsan -keystore lu.keystore -file zhangsan.cer
    输入密钥库口令:
    证书回复已安装在密钥库中

> 上面三步骤完成后，证书`zhangsan`就已经被证书`lisi`认证，再查看秘钥库的信息：

PS F:\test\keystore> keytool -list -keystore lu.keystore -v
    输入密钥库口令:
    
    密钥库类型: JKS
    密钥库提供方: SUN
    
    您的密钥库包含 2 个条目
    
    别名: zhangsan
    创建日期: 2018-7-3
    条目类型: PrivateKeyEntry
    证书链长度: 2
    证书[1]:
    所有者: CN=zh, OU=zh, O=zh, L=zh, ST=zh, C=CN
    发布者: CN=li, OU=li, O=li, L=li, ST=li, C=CN
    序列号: e3abce9
    有效期开始日期: Tue Jul 03 15:29:10 CST 2018, 截止日期: Mon Oct 01 15:29:10 CST 2018
    证书指纹:
             MD5: 17:BE:4C:2A:91:67:DB:07:83:2C:37:AA:E0:BB:22:AA
             SHA1: A9:67:85:5D:8E:47:F2:A9:D3:08:69:28:66:32:5B:25:FF:38:56:C4
             SHA256: CC:7D:18:11:D0:F8:F8:2F:83:64:32:45:DD:18:D6:C4:54:AF:3C:6F:16:10:A7:C4:BF:81:4C:3F:7D:12:45:49
             签名算法名称: SHA256withRSA
             版本: 3
    
    扩展:
    
    #1: ObjectId: 2.5.29.35 Criticality=false
    AuthorityKeyIdentifier [
    KeyIdentifier [
    0000: B5 56 CD 9D 4E 92 84 2C   2B 39 64 14 2C 93 93 28  .V..N..,+9d.,..(
    0010: B4 59 59 EA                                        .YY.
    ]
    ]
    
    #2: ObjectId: 2.5.29.14 Criticality=false
    SubjectKeyIdentifier [
    KeyIdentifier [
    0000: 4E 24 A9 98 60 E1 7F 46   FC CF 29 1A D3 AE D5 52  N$..`..F..)....R
    0010: D2 B3 B5 31                                        ...1
    ]
    ]
    
    证书[2]:
    所有者: CN=li, OU=li, O=li, L=li, ST=li, C=CN
    发布者: CN=li, OU=li, O=li, L=li, ST=li, C=CN
    序列号: 38621ae3
    有效期开始日期: Tue Jul 03 15:07:06 CST 2018, 截止日期: Mon Oct 01 15:07:06 CST 2018
    证书指纹:
             MD5: 36:00:EE:28:26:4C:24:15:C7:39:D7:87:84:0D:A9:14
             SHA1: 8C:88:1E:97:DA:49:1F:BA:0E:5F:13:77:7C:6C:F3:F6:13:0C:C1:51
             SHA256: C2:99:AB:0A:66:6E:68:71:EF:A2:A9:1A:8F:07:60:35:18:D2:E1:3F:B1:B9:21:72:D8:3D:51:0C:52:43:DA:81
             签名算法名称: SHA256withRSA
             版本: 3
    
    扩展:
    
    #1: ObjectId: 2.5.29.14 Criticality=false
    SubjectKeyIdentifier [
    KeyIdentifier [
    0000: B5 56 CD 9D 4E 92 84 2C   2B 39 64 14 2C 93 93 28  .V..N..,+9d.,..(
    0010: B4 59 59 EA                                        .YY.
    ]
    ]
    
    
    
    *******************************************
    *******************************************
    
    
    别名: lisi
    创建日期: 2018-7-3
    条目类型: PrivateKeyEntry
    证书链长度: 1
    证书[1]:
    所有者: CN=li, OU=li, O=li, L=li, ST=li, C=CN
    发布者: CN=li, OU=li, O=li, L=li, ST=li, C=CN
    序列号: 38621ae3
    有效期开始日期: Tue Jul 03 15:07:06 CST 2018, 截止日期: Mon Oct 01 15:07:06 CST 2018
    证书指纹:
             MD5: 36:00:EE:28:26:4C:24:15:C7:39:D7:87:84:0D:A9:14
             SHA1: 8C:88:1E:97:DA:49:1F:BA:0E:5F:13:77:7C:6C:F3:F6:13:0C:C1:51
             SHA256: C2:99:AB:0A:66:6E:68:71:EF:A2:A9:1A:8F:07:60:35:18:D2:E1:3F:B1:B9:21:72:D8:3D:51:0C:52:43:DA:81
             签名算法名称: SHA256withRSA
             版本: 3
    
    扩展:
    
    #1: ObjectId: 2.5.29.14 Criticality=false
    SubjectKeyIdentifier [
    KeyIdentifier [
    0000: B5 56 CD 9D 4E 92 84 2C   2B 39 64 14 2C 93 93 28  .V..N..,+9d.,..(
    0010: B4 59 59 EA                                        .YY.
    ]
    ]
    
    
    
    *******************************************
    *******************************************

> 注意观察条目`zhangsan`证书的发布者已经变成了`lisi`的信息了，并且多了一个`证书[2]:`，这个就是`颁发者的信息`

### 证书加密和解密操作代码实现 ###

@org.junit.Test
    public void testCertificate() throws Exception {
        final String alias = "lisi";
        final String keystore_password = "123456";//秘钥库密码
        final String ca_password = "123456";//证书密码
        
        
        //公钥证书的编码格式是x509  私钥通常是pkcs8
        /*从lisi.cer中提取公钥*/
        X509Certificate x509Certificate = null;
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        FileInputStream fis = new FileInputStream("F://test/keystore/lisi.cer");
        x509Certificate = (X509Certificate) certificateFactory.generateCertificate(fis);
        fis.close();
        
        /*==========使用公钥加密============*/
        Key key = x509Certificate.getPublicKey();
        Cipher cipher = Cipher.getInstance("RSA");
        cipher.init(Cipher.ENCRYPT_MODE, key);
        byte[] bytes = cipher.doFinal("helloworld".getBytes());
        System.out.println("加密结果: " + Base64.getEncoder().encodeToString(bytes));
    
    
        /*提取秘钥*/
        fis = new FileInputStream("F://test/keystore/lu.keystore");
        KeyStore keyStore = KeyStore.getInstance("JKS");
        keyStore.load(fis, keystore_password.toCharArray());
        fis.close();
    
        PrivateKey privateKey = (PrivateKey) keyStore.getKey(alias, ca_password.toCharArray());
    
        /*=======使用私钥解密=========*/
        cipher.init(Cipher.DECRYPT_MODE, privateKey);
        bytes = cipher.doFinal(bytes);
        System.out.println("解密： " + new String(bytes));
    }

--------------------

![20210803154022504.gif][]

![20210626100647986.gif][]

[五年从程序员到架构师！这是我见过史上最好的程序员职业规划][Link 1]

### [(下一篇) ][Link 2][16 条 yyds 的代码规范][16 _ yyds] ###

### [40 个 SpringBoot 常用注解][40 _ SpringBoot] ###

[别慌，在Java面试的时候，面试官会这样问关于框架的问题？][Java 1]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxNTcwNjU4_size_16_color_FFFFFF_t_70][]

**想要实时关注更多干货好文，扫描下图关注：**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxNTcwNjU4_size_16_color_FFFFFF_t_70 1][]

[Java]: http://lib.csdn.net/base/java
[20210803154022504.gif]: /images/20221022/139e4e3f82364e5ea1bcd6f18e597502.png
[20210626100647986.gif]: /images/20221022/885d9eb0392447089b91bf7fa2d8ee2a.png
[Link 1]: https://blog.csdn.net/qq_41570658/article/details/119028483
[Link 2]: https://blog.csdn.net/qq_41570658/article/details/119147877
[16 _ yyds]: https://blog.csdn.net/qq_41570658/article/details/119146661
[40 _ SpringBoot]: https://blog.csdn.net/qq_41570658/article/details/119147814
[Java 1]: https://blog.csdn.net/qq_41570658/article/details/119171456
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxNTcwNjU4_size_16_color_FFFFFF_t_70]: /images/20221022/0392590a2fc946599c8f92739049e2c3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxNTcwNjU4_size_16_color_FFFFFF_t_70 1]: /images/20221022/0e4546aa85ff4dd6b5e0d8b4821eeb82.png