- 首先在java_home\bin\keytool.exe进行安装
- 先生成一个签名
keytool -genkey -keystore you.keystore –alias youApp
- 将签名加到jar上
注意点:先将java_home配置好
另其他的keytool命令附录如下:
常用参数:
- -alias 别名,证书库中的每条证书以别名来区分,这个alias通常不区分大小写。
- -keystore 证书库文件路径和名字
- -keyalg 指定生成密钥对的算法(如RSA DSA,默认值为:DSA)
- -keysize 指定密钥长度 (默认 1024)
- -validity 指定创建的证书有效期多少天(默认 90)
- -storepass 指定证书库的访问密码
- -keypass 指定证书库中指定条目证书的私钥密码
- -dname 表示证书的Distinguished Names发行者信息。其中"CN=commonName证书名(一般是网站的域名),OU=organizationUnit组织单位名称,O=organizationName组织名称,L=localityName城市或区域名,S=stateName州或省份名称,C=country两位的母国家代码"
- -file 导出的证书位置(包含公钥和主题信息的证书)
- -v 显示证书库中的证书详细信息
- -rfc 以可打印的编码格式输出证书详细信息
Keystore在java中的实现:
Keytool类位于java.security包下,提供一个非常好的接口去取得和修改一个keystore中的信息. 目前有两个命令行:keytool和jarsinger,一个GUI工具Policy 可以实现keystore.由于keystore是公开的,用户可以用它写一些额外的安全应用程序.
Keystore还有一个sun公司提供的內在实现.它把keystore作为一个文件来实现.利用了一个keystore类型(格式)"JKS".它用单独的密码保护每一个私有钥匙.也用可能不同的密码保护整个keystore的完整性.
Keystore证书库中有两种不同类型的项:
密钥项 - 每项存放极为敏感的加密密钥信息,这种信息以一种受保护的格式储存以防止未授权的访问。通常,储存在这类项中的密钥是机密密钥,或是伴有用于认证相应公钥用的证书“链”的私钥。keytool 和 jarsigner 工具只处理后一类型的项,即私钥及其关联的证书链。
可信任的证书项 - 每项包含一个属于另一团体的公钥证书。它之所以叫做“可信任的证书”,是因为密钥仓库的拥有者相信证书中的公钥确实属于证书“主体”(拥有者)识别的身份。证书签发人通过对证书签名来保证这点。
证书:(也叫公钥证书)是来自某个实体(签发人)的经数字签名的声明,它声明另一实体(主体)的公钥(及其它信息)具有某一特定的值。
- 公钥: 是与特定实体相关联的数字。所有需要与该实体进行信任交互的人都应知道该数字。公钥用于校验签名。
- 数字签名: 如果某些数据经数字签名,说明它们已与某一实体的“身份”存储在一起,而且证明该实体的签名知道这些数据。通过用该实体的私钥进行绘制,这些数据就是不可伪造的了。
- 签名: 用实体私有钥匙加密某些消息,从而得到加密数据;
- 私钥: 是一些数字,私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中.公共钥匙用来加密数据,私有钥匙用来计算签名.公钥加密的消息只能用私钥解密,私钥签名的消息只能用公钥检验签名。
- 实体: 一个实体可以是一个人,一个组织,一个程序,一台计算机,一个商业,一个银行,或其他你想信任的东西.
jarsigner 工具利用证书库中的信息来产生或校验 Java 存档 (JAR) 文件的数字签名 (JAR 文件将类文件、图象、声音和/或其它数字化数据打包在一个文件中)。jarsigner 用 JAR 文件所附带的证书(包含于 JAR 文件的签名块文件中)来校验 JAR 文件的数字签名,然后检查该证书的公钥是否“可信任”,即是否包括在指定的证书库中。