如何使用keytool建立密钥仓库

其实主要的就是要建立一个密钥仓库以管理您的公钥/私钥对来自您所信任实体的证书。
 
第一步：生成密钥对
您首先要作的是建立一个密钥仓库和生成密钥对。您可使用如下命令： 
keytool -genkey -keyalg RSA -keysize 512 -dname "cn=hyq,o=eagle,c=cn" -alias weblogic -keypass 123456 -keystore C:/mykeystore/weblogic.jks -storepass 123456 -validity 365

（请注意：键入该命令时必须使其成为一行。此处用多行来显示，主要是为了可读性。）以下图：


该命令将在 C 盘的“mykeystore”目录中建立名为“weblogic.jks”的密钥仓库，并赋予它口令“123456”。它将为实体生成公钥/私钥对，该实体的“特征名”为：经常使用名“hyq”、组织“eagle”和两个字母的国家代码“cn”。“-keyalg”指定它使用的是那种密钥生成算法来建立密钥，缺省的是“DSA”密钥生成算法（会使用缺省的“带 DSA 的 SHA1”签名算法），两个密钥（公钥与私钥）的长度是512位，由-keysize来指定，默认的是1024 位。 该证书包括公钥和特征名信息。该证书的有效期为365天，由-validity来指定，且与别名“business”所表明的密钥仓库项关联。私钥被赋予口令“123456”。

 

命令行里DName 信息注解

 

 

DN 信息域	含义
CN	域名或IP
OU	部门，没有部门的可不要此项
O	单位名称
L	单位地址
S	省份的拼音（第一个字母大写）
C	国家的简写 （CN 表明中国）

若是采用选项的缺省值，能够大大缩短该命令。实际上，这些选项并非必需的；对于有缺省值的选项，未指定时将使用缺省值，对于任何被要求的值，您将会获得要求输入它的提示。例如：输入命令keytool -genkey -keystore "C:/tone.jks" -storepass 123456 -keyalg RSA，就会有以下提示：

注意：这里的密钥仓库路径必定要存在，若是不存在的话，它就会抛以下的异常

第二步:产生证书请求certreq.pem 文件

使用以下命令：

keytool -certreq -alias weblogic -sigalg "MD5withRSA" -file C:/mykeystore/certreq.pem -keypass 123456 -keystore C:/mykeystore/weblogic.jks -storepass 123456

这样在C:/mykeystore/目录下就会产生一个certreq.pem文件，内容以下：

-----BEGIN NEW CERTIFICATE REQUEST-----

MIHlMIGQAgEAMCsxCzAJBgNVBAYTAmNuMQ4wDAYDVQQKEwVlYWdsZTEMMAoGA1UEAxMDaHlxMFww

DQYJKoZIhvcNAQEBBQADSwAwSAJBAMhaIG2Ki7+RwZUP4gPBdTbnY38bisW16u1XUyysPxdNwSie

aSd6E3Hm277E7NjHoz56ZoaYdPPDmdiTkMrS9rcCAwEAAaAAMA0GCSqGSIb3DQEBBAUAA0EAYRNl

l5dyGgV9hhu++ypcJNQTrDIwjx1QT4fgVubrtIaHU0fzHamD5QG6PYddw9TL51XQHvu6tOS0NUc/

ItNKJw==

-----END NEW CERTIFICATE REQUEST-----

第三步：这就相对来讲简单多了，就是向CA提交证书请求。
    你能够随便从网上找一家免费的CA认证适用机构（不少的），而后按照上面的提示进行操做就能够了，这一步就要用到前面生成的certreq.pem 文件了。（注意：必定要下载根证书）
    将生成的证书和下载的根证书放至你比较容易找到的位置，我通常将它们和生成的jks文件放到一块儿。

第四步：导入证书
    经过命令：keytool -import -alias RootCA -trustcacerts -file C:/mykeystore/RootCADemo.cer -keystore C:/mykeystore/weblogic.jks -storepass 123456将根证书导入第一步生成的weblogic.jks中，接着将全部其它的证书按照此命令所有导入。（注意证书的别名不能重复，同时必定注意要用上 -trustcacerts，不然，你在之后使用时，它将会认为你导入的这些证书是不可信任的 ，就会致使你在配置SSL时不能正常的工做。）