标签归档：Security

分段加解密解决RSA“不正确的长度”的异常

2016-04-29java资料Securityiigadmin

RSA 是常用的非对称加密算法。最近使用时却出现了“不正确的长度”的异常，研究发现是由于待加密的数据超长所致。

RSA加密明文最大长度117字节，解密要求密文最大长度为128字节，所以在加密和解密的过程中需要分块进行。
RSA加密对明文的长度是有限制的，如果加密数据过大会抛出如下异常：

Exception in thread "main" javax.crypto.IllegalBlockSizeException: Data must not be longer than 117 bytes
at com.sun.crypto.provider.RSACipher.a(DashoA13*..)
at com.sun.crypto.provider.RSACipher.engineDoFinal(DashoA13*..)
at javax.crypto.Cipher.doFinal(DashoA13*..)

RSAUtils.java

package security;

import java.io.ByteArrayOutputStream;
import java.security.Key;
import java.security.KeyFactory;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.PrivateKey;
import java.security.PublicKey;
import java.security.Signature;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;
import java.util.HashMap;
import java.util.Map;

import javax.crypto.Cipher;

/** *//**
* 
* RSA公钥/私钥/签名工具包
* 
* 
* 罗纳德·李维斯特（Ron [R]ivest）、阿迪·萨莫尔（Adi [S]hamir）和伦纳德·阿德曼（Leonard [A]dleman）
* 
* 
* 字符串格式的密钥在未在特殊说明情况下都为BASE64编码格式 
* 由于非对称加密速度极其缓慢，一般文件不使用它来加密而是使用对称加密， 
* 非对称加密算法可以用来对对称加密的密钥加密，这样保证密钥的安全也就保证了数据的安全
* 
*
* @author IceWee
* @date 2012-4-26
* @version 1.0
*/
public class RSAUtils {

/** *//**
* 加密算法RSA
*/
public static final String KEY_ALGORITHM = "RSA";

/** *//**
* 签名算法
*/
public static final String SIGNATURE_ALGORITHM = "MD5withRSA";

/** *//**
* 获取公钥的key
*/
private static final String PUBLIC_KEY = "RSAPublicKey";

/** *//**
* 获取私钥的key
*/
private static final String PRIVATE_KEY = "RSAPrivateKey";

/** *//**
* RSA最大加密明文大小
*/
private static final int MAX_ENCRYPT_BLOCK = 117;

/** *//**
* RSA最大解密密文大小
*/
private static final int MAX_DECRYPT_BLOCK = 128;

/** *//**
* 
* 生成密钥对(公钥和私钥)
* 
*
* @return
* @throws Exception
*/
public static Map<String, Object> genKeyPair() throws Exception {
KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance(KEY_ALGORITHM);
keyPairGen.initialize(1024);
KeyPair keyPair = keyPairGen.generateKeyPair();
RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
Map<String, Object> keyMap = new HashMap<String, Object>(2);
keyMap.put(PUBLIC_KEY, publicKey);
keyMap.put(PRIVATE_KEY, privateKey);
return keyMap;
}

/** *//**
* 
* 用私钥对信息生成数字签名
* 
*
* @param data 已加密数据
* @param privateKey 私钥(BASE64编码)
*
* @return
* @throws Exception
*/
public static String sign(byte[] data, String privateKey) throws Exception {
byte[] keyBytes = Base64Utils.decode(privateKey);
PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
PrivateKey privateK = keyFactory.generatePrivate(pkcs8KeySpec);
Signature signature = Signature.getInstance(SIGNATURE_ALGORITHM);
signature.initSign(privateK);
signature.update(data);
return Base64Utils.encode(signature.sign());
}

/** *//**
* 
* 校验数字签名
* 
*
* @param data 已加密数据
* @param publicKey 公钥(BASE64编码)
* @param sign 数字签名
*
* @return
* @throws Exception
*
*/
public static boolean verify(byte[] data, String publicKey, String sign)
throws Exception {
byte[] keyBytes = Base64Utils.decode(publicKey);
X509EncodedKeySpec keySpec = new X509EncodedKeySpec(keyBytes);
KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
PublicKey publicK = keyFactory.generatePublic(keySpec);
Signature signature = Signature.getInstance(SIGNATURE_ALGORITHM);
signature.initVerify(publicK);
signature.update(data);
return signature.verify(Base64Utils.decode(sign));
}

/** *//**
* 
* 私钥解密
* 
*
* @param encryptedData 已加密数据
* @param privateKey 私钥(BASE64编码)
* @return
* @throws Exception
*/
public static byte[] decryptByPrivateKey(byte[] encryptedData, String privateKey)
throws Exception {
byte[] keyBytes = Base64Utils.decode(privateKey);
PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
Key privateK = keyFactory.generatePrivate(pkcs8KeySpec);
Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
cipher.init(Cipher.DECRYPT_MODE, privateK);
int inputLen = encryptedData.length;
ByteArrayOutputStream out = new ByteArrayOutputStream();
int offSet = 0;
byte[] cache;
int i = 0;
// 对数据分段解密
while (inputLen - offSet > 0) {
if (inputLen - offSet > MAX_DECRYPT_BLOCK) {
cache = cipher.doFinal(encryptedData, offSet, MAX_DECRYPT_BLOCK);
} else {
cache = cipher.doFinal(encryptedData, offSet, inputLen - offSet);
}
out.write(cache, 0, cache.length);
i++;
offSet = i * MAX_DECRYPT_BLOCK;
}
byte[] decryptedData = out.toByteArray();
out.close();
return decryptedData;
}

/** *//**
* 
* 公钥解密
* 
*
* @param encryptedData 已加密数据
* @param publicKey 公钥(BASE64编码)
* @return
* @throws Exception
*/
public static byte[] decryptByPublicKey(byte[] encryptedData, String publicKey)
throws Exception {
byte[] keyBytes = Base64Utils.decode(publicKey);
X509EncodedKeySpec x509KeySpec = new X509EncodedKeySpec(keyBytes);
KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
Key publicK = keyFactory.generatePublic(x509KeySpec);
Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
cipher.init(Cipher.DECRYPT_MODE, publicK);
int inputLen = encryptedData.length;
ByteArrayOutputStream out = new ByteArrayOutputStream();
int offSet = 0;
byte[] cache;
int i = 0;
// 对数据分段解密
while (inputLen - offSet > 0) {
if (inputLen - offSet > MAX_DECRYPT_BLOCK) {
cache = cipher.doFinal(encryptedData, offSet, MAX_DECRYPT_BLOCK);
} else {
cache = cipher.doFinal(encryptedData, offSet, inputLen - offSet);
}
out.write(cache, 0, cache.length);
i++;
offSet = i * MAX_DECRYPT_BLOCK;
}
byte[] decryptedData = out.toByteArray();
out.close();
return decryptedData;
}

/** *//**
* 
* 公钥加密
* 
*
* @param data 源数据
* @param publicKey 公钥(BASE64编码)
* @return
* @throws Exception
*/
public static byte[] encryptByPublicKey(byte[] data, String publicKey)
throws Exception {
byte[] keyBytes = Base64Utils.decode(publicKey);
X509EncodedKeySpec x509KeySpec = new X509EncodedKeySpec(keyBytes);
KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
Key publicK = keyFactory.generatePublic(x509KeySpec);
// 对数据加密
Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
cipher.init(Cipher.ENCRYPT_MODE, publicK);
int inputLen = data.length;
ByteArrayOutputStream out = new ByteArrayOutputStream();
int offSet = 0;
byte[] cache;
int i = 0;
// 对数据分段加密
while (inputLen - offSet > 0) {
if (inputLen - offSet > MAX_ENCRYPT_BLOCK) {
cache = cipher.doFinal(data, offSet, MAX_ENCRYPT_BLOCK);
} else {
cache = cipher.doFinal(data, offSet, inputLen - offSet);
}
out.write(cache, 0, cache.length);
i++;
offSet = i * MAX_ENCRYPT_BLOCK;
}
byte[] encryptedData = out.toByteArray();
out.close();
return encryptedData;
}

/** *//**
* 
* 私钥加密
* 
*
* @param data 源数据
* @param privateKey 私钥(BASE64编码)
* @return
* @throws Exception
*/
public static byte[] encryptByPrivateKey(byte[] data, String privateKey)
throws Exception {
byte[] keyBytes = Base64Utils.decode(privateKey);
PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
Key privateK = keyFactory.generatePrivate(pkcs8KeySpec);
Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
cipher.init(Cipher.ENCRYPT_MODE, privateK);
int inputLen = data.length;
ByteArrayOutputStream out = new ByteArrayOutputStream();
int offSet = 0;
byte[] cache;
int i = 0;
// 对数据分段加密
while (inputLen - offSet > 0) {
if (inputLen - offSet > MAX_ENCRYPT_BLOCK) {
cache = cipher.doFinal(data, offSet, MAX_ENCRYPT_BLOCK);
} else {
cache = cipher.doFinal(data, offSet, inputLen - offSet);
}
out.write(cache, 0, cache.length);
i++;
offSet = i * MAX_ENCRYPT_BLOCK;
}
byte[] encryptedData = out.toByteArray();
out.close();
return encryptedData;
}

/** *//**
* 
* 获取私钥
* 
*
* @param keyMap 密钥对
* @return
* @throws Exception
*/
public static String getPrivateKey(Map<String, Object> keyMap)
throws Exception {
Key key = (Key) keyMap.get(PRIVATE_KEY);
return Base64Utils.encode(key.getEncoded());
}

/** *//**
* 
* 获取公钥
* 
*
* @param keyMap 密钥对
* @return
* @throws Exception
*/
public static String getPublicKey(Map<String, Object> keyMap)
throws Exception {
Key key = (Key) keyMap.get(PUBLIC_KEY);
return Base64Utils.encode(key.getEncoded());
}

}

Base64Utils.java
package security;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.InputStream;
import java.io.OutputStream;

import it.sauronsoftware.base64.Base64;

/** *//**
* 
* BASE64编码解码工具包
* 
* 
* 依赖javabase64-1.3.1.jar
* 
*
* @author IceWee
* @date 2012-5-19
* @version 1.0
*/
public class Base64Utils {

/** *//**
* 文件读取缓冲区大小
*/
private static final int CACHE_SIZE = 1024;

/** *//**
* 
* BASE64字符串解码为二进制数据
* 
*
* @param base64
* @return
* @throws Exception
*/
public static byte[] decode(String base64) throws Exception {
return Base64.decode(base64.getBytes());
}

/** *//**
* 
* 二进制数据编码为BASE64字符串
* 
*
* @param bytes
* @return
* @throws Exception
*/
public static String encode(byte[] bytes) throws Exception {
return new String(Base64.encode(bytes));
}

/** *//**
* 
* 将文件编码为BASE64字符串
* 
* 
* 大文件慎用，可能会导致内存溢出
* 
*
* @param filePath 文件绝对路径
* @return
* @throws Exception
*/
public static String encodeFile(String filePath) throws Exception {
byte[] bytes = fileToByte(filePath);
return encode(bytes);
}

/** *//**
* 
* BASE64字符串转回文件
* 
*
* @param filePath 文件绝对路径
* @param base64 编码字符串
* @throws Exception
*/
public static void decodeToFile(String filePath, String base64) throws Exception {
byte[] bytes = decode(base64);
byteArrayToFile(bytes, filePath);
}

/** *//**
* 
* 文件转换为二进制数组
* 
*
* @param filePath 文件路径
* @return
* @throws Exception
*/
public static byte[] fileToByte(String filePath) throws Exception {
byte[] data = new byte[0];
File file = new File(filePath);
if (file.exists()) {
FileInputStream in = new FileInputStream(file);
ByteArrayOutputStream out = new ByteArrayOutputStream(2048);
byte[] cache = new byte[CACHE_SIZE];
int nRead = 0;
while ((nRead = in.read(cache)) != -1) {
out.write(cache, 0, nRead);
out.flush();
}
out.close();
in.close();
data = out.toByteArray();
}
return data;
}

/** *//**
* 
* 二进制数据写文件
* 
*
* @param bytes 二进制数据
* @param filePath 文件生成目录
*/
public static void byteArrayToFile(byte[] bytes, String filePath) throws Exception {
InputStream in = new ByteArrayInputStream(bytes);
File destFile = new File(filePath);
if (!destFile.getParentFile().exists()) {
destFile.getParentFile().mkdirs();
}
destFile.createNewFile();
OutputStream out = new FileOutputStream(destFile);
byte[] cache = new byte[CACHE_SIZE];
int nRead = 0;
while ((nRead = in.read(cache)) != -1) {
out.write(cache, 0, nRead);
out.flush();
}
out.close();
in.close();
}

}

RSATester.java
package security;

import java.util.Map;

public class RSATester {

static String publicKey;
static String privateKey;

static {
try {
Map<String, Object> keyMap = RSAUtils.genKeyPair();
publicKey = RSAUtils.getPublicKey(keyMap);
privateKey = RSAUtils.getPrivateKey(keyMap);
System.err.println("公钥: \n\r" + publicKey);
System.err.println("私钥： \n\r" + privateKey);
} catch (Exception e) {
e.printStackTrace();
}
}

public static void main(String[] args) throws Exception {
test();
testSign();
}

static void test() throws Exception {
System.err.println("公钥加密——私钥解密");
String source = "这是一行没有任何意义的文字，你看完了等于没看，不是吗？";
System.out.println("\r加密前文字：\r\n" + source);
byte[] data = source.getBytes();
byte[] encodedData = RSAUtils.encryptByPublicKey(data, publicKey);
System.out.println("加密后文字：\r\n" + new String(encodedData));
byte[] decodedData = RSAUtils.decryptByPrivateKey(encodedData, privateKey);
String target = new String(decodedData);
System.out.println("解密后文字: \r\n" + target);
}

static void testSign() throws Exception {
System.err.println("私钥加密——公钥解密");
String source = "这是一行测试RSA数字签名的无意义文字";
System.out.println("原文字：\r\n" + source);
byte[] data = source.getBytes();
byte[] encodedData = RSAUtils.encryptByPrivateKey(data, privateKey);
System.out.println("加密后：\r\n" + new String(encodedData));
byte[] decodedData = RSAUtils.decryptByPublicKey(encodedData, publicKey);
String target = new String(decodedData);
System.out.println("解密后: \r\n" + target);
System.err.println("私钥签名——公钥验证签名");
String sign = RSAUtils.sign(encodedData, privateKey);
System.err.println("签名:\r" + sign);
boolean status = RSAUtils.verify(encodedData, publicKey, sign);
System.err.println("验证结果:\r" + status);
}

}

下面是微软的.net系统下的rsa分块加密

待加密的字节数不能超过密钥的长度值除以 8 再减去 11（即：RSACryptoServiceProvider.KeySize / 8 - 11），而加密后得到密文的字节数，正好是密钥的长度值除以 8（即：RSACryptoServiceProvider.KeySize / 8）。

所以，如果要加密较长的数据，则可以采用分段加解密的方式，实现方式如下：

namespace Macroresolute.RSACryptoService
{
public static class RSACrypto
{
private static readonly Encoding Encoder = Encoding.UTF8;

public static String Encrypt(this String plaintext)
{
X509Certificate2 _X509Certificate2 = RSACrypto.RetrieveX509Certificate();
using (RSACryptoServiceProvider RSACryptography = _X509Certificate2.PublicKey.Key as RSACryptoServiceProvider)
{
Byte[] PlaintextData = RSACrypto.Encoder.GetBytes(plaintext);
int MaxBlockSize = RSACryptography.KeySize / 8 - 11; //加密块最大长度限制

if (PlaintextData.Length <= MaxBlockSize)
return Convert.ToBase64String(RSACryptography.Encrypt(PlaintextData, false));

using (MemoryStream PlaiStream = new MemoryStream(PlaintextData))
using (MemoryStream CrypStream = new MemoryStream())
{
Byte[] Buffer = new Byte[MaxBlockSize];
int BlockSize = PlaiStream.Read(Buffer, 0, MaxBlockSize);

while (BlockSize > 0)
{
Byte[] ToEncrypt = new Byte[BlockSize];
Array.Copy(Buffer, 0, ToEncrypt, 0, BlockSize);

Byte[] Cryptograph = RSACryptography.Encrypt(ToEncrypt, false);
CrypStream.Write(Cryptograph, 0, Cryptograph.Length);

BlockSize = PlaiStream.Read(Buffer, 0, MaxBlockSize);
}

return Convert.ToBase64String(CrypStream.ToArray(), Base64FormattingOptions.None);
}
}
}

public static String Decrypt(this String ciphertext)
{
X509Certificate2 _X509Certificate2 = RSACrypto.RetrieveX509Certificate();
using (RSACryptoServiceProvider RSACryptography = _X509Certificate2.PrivateKey as RSACryptoServiceProvider)
{
Byte[] CiphertextData = Convert.FromBase64String(ciphertext);
int MaxBlockSize = RSACryptography.KeySize / 8; //解密块最大长度限制

if (CiphertextData.Length <= MaxBlockSize)
return RSACrypto.Encoder.GetString(RSACryptography.Decrypt(CiphertextData, false));

using (MemoryStream CrypStream = new MemoryStream(CiphertextData))
using (MemoryStream PlaiStream = new MemoryStream())
{
Byte[] Buffer = new Byte[MaxBlockSize];
int BlockSize = CrypStream.Read(Buffer, 0, MaxBlockSize);

while (BlockSize > 0)
{
Byte[] ToDecrypt = new Byte[BlockSize];
Array.Copy(Buffer, 0, ToDecrypt, 0, BlockSize);

Byte[] Plaintext = RSACryptography.Decrypt(ToDecrypt, false);
PlaiStream.Write(Plaintext, 0, Plaintext.Length);

BlockSize = CrypStream.Read(Buffer, 0, MaxBlockSize);
}

return RSACrypto.Encoder.GetString(PlaiStream.ToArray());
}
}
}

private static X509Certificate2 RetrieveX509Certificate()
{
return null; //检索用于 RSA 加密的 X509Certificate2 证书
}
}
}

注：以上加密方法返回的字符串类型为原始的 Base-64 ，若要用于 URL 传输，需另行处理！

Java中JKS不同类型的keystore

2016-03-08资料java， Securityiigadmin

Java中JKS不同类型的keystore

JKS是Java中的keystore，keystore是java的密钥库、用来进行通信加密用的、比如数字签名。keystore就是用来保存密钥对的，比如公钥和私钥。具体用法，在网上搜java数字签名，文件加密就行了、有很多教程的。

接下来我们将展示如何使用纯Java代码的JKS keystore。

1.创建JKS的keystore

创建一个硕密钥库创建一个空的密钥库的最简单的方法。我们可以先得到密钥库实例，然后加载一个空库。加载后的空库，我们只需要为密钥的密钥。密钥名称和密码store()。

下面是一个简单的演示：

package cn.iigrowing.keystore.store;

import java.io.FileOutputStream;
import java.security.KeyStore;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class IigJavaStore {
    final static Logger logger = LoggerFactory.getLogger(IigJavaStore.class);

    public static void main(String[] args) throws Exception {
        try {
            KeyStore keyStore = KeyStore.getInstance("JKS");
            keyStore.load(null, null);
            keyStore.store(new FileOutputStream("mytestkey.jks"), "password".toCharArray());
        } catch (Exception ex) {
            ex.printStackTrace();
        }
    }
}

在调用后执行），你会看到在当前工作目录mytestkey.jks keystore介绍。现在还没有任何keystore是空的。

2.存储私钥

现在让我们来存储一个私钥和相关的证书链的密钥。注意我们不能存储私钥不相关的证书链到一个密钥使用JDK。与其他一些库或本地库，你可以存储私钥不相关的证书链。

请确保前面的代码正确运行了，这样下那个项目下面会创建一个mytestkey.jks文件，这样在相同项目里面在创建下面代码，才能正确运行，代码如下：

package cn.iigrowing.keystore.store;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.security.Key;
import java.security.KeyStore;
import java.security.cert.X509Certificate;

//import javax.security.cert.X509Certificate;
import sun.security.x509.*;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class IigJavaStore2 {
    final static Logger logger = LoggerFactory.getLogger(IigJavaStore2.class);

    public static void main(String[] args) throws Exception {
        try {
            KeyStore keyStore = KeyStore.getInstance("JKS");
            keyStore.load(new FileInputStream("mytestkey.jks"), "password".toCharArray());

            CertAndKeyGen gen = new CertAndKeyGen("RSA", "SHA1WithRSA");
            gen.generate(1024);

            Key key = gen.getPrivateKey();
            X509Certificate cert = gen.getSelfCertificate(new X500Name("CN=ROOT"), (long) 365 * 24 * 3600);

            X509Certificate[] chain = new X509Certificate[1];
            chain[0] = cert;

            keyStore.setKeyEntry("mykey", key, "password".toCharArray(), chain);

            keyStore.store(new FileOutputStream("mytestkey.jks"), "password".toCharArray());
        } catch (Exception ex) {
            ex.printStackTrace();
        }
    }
}

首先，我们将创建一个私钥和一个自签名证书，然后调用库。setkeyentry()与指定的别名，关键的关键，和其相关的证书链的密码。记得我们需要调用库。store()存储在keystore关键。

别名的条目，它很容易被发现后，标签。

3.存储证书

我们可以存储在keystore证书张根硕。将证书存储应X509Certificate。它可以存储在keystore无关联的私钥。这个过程类似于存储私钥。

package cn.iigrowing.keystore.store;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.security.Key;
import java.security.KeyStore;
import java.security.cert.X509Certificate;

//import javax.security.cert.X509Certificate;
import sun.security.x509.*;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class IigJavaStore3 {
    final static Logger logger = LoggerFactory.getLogger(IigJavaStore3.class);

    public static void main(String[] args) throws Exception {
        try {
            KeyStore keyStore = KeyStore.getInstance("JKS");
            keyStore.load(new FileInputStream("mytestkey.jks"), "password".toCharArray());

            CertAndKeyGen gen = new CertAndKeyGen("RSA", "SHA1WithRSA");
            gen.generate(1024);

            X509Certificate cert = gen.getSelfCertificate(new X500Name("CN=SINGLE_CERTIFICATE"),
                    (long) 365 * 24 * 3600);

            keyStore.setCertificateEntry("single_cert", cert);

            keyStore.store(new FileOutputStream("mytestkey.jks"), "password".toCharArray());
        } catch (Exception ex) {
            ex.printStackTrace();
        }
    }
}

4.加载私钥

存储键后，我们还可以加载项在密钥。我们在这里所说的加载私钥，其实这不是这里的情况，如前所述，私钥不能从张根硕使用Java提取。在这里，我们实际上提取私钥的证书链。

package cn.iigrowing.keystore.store;

import java.io.FileInputStream;
import java.security.Key;
import java.security.KeyStore;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class IigJavaStore5 {
    final static Logger logger = LoggerFactory.getLogger(IigJavaStore5.class);

    public static void main(String[] args) throws Exception {
        try {
            KeyStore keyStore = KeyStore.getInstance("JKS");
            keyStore.load(new FileInputStream("mytestkey.jks"), "password".toCharArray());

            Key key = keyStore.getKey("alias", "password".toCharArray());
            // System.out.println("Private key : "+key.toString()); //You will
            // get a NullPointerException if you uncomment this line

            java.security.cert.Certificate[] chain = keyStore.getCertificateChain("mykey");
            for (java.security.cert.Certificate cert : chain) {
                System.out.println(cert.toString());
            }
        } catch (Exception ex) {
            ex.printStackTrace();
        }
    }
}

注意注释行，关键是空的预期。我们可以拿到证书链正常但。
代码
[
[
Version: V3
Subject: CN=ROOT
Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5

Key: Sun RSA public key, 1024 bits
modulus: 90980299845597512779139009881469177009407272139633139241921529845092210461181243924599150259446249079941561941533303439718936138867375776965995893255358889228584415558006141961051402385279285497775776996780406808976543439543789816486513982581378223575354716191394304768315366544413052547926792470794374067383
public exponent: 65537
Validity: [From: Sat Sep 06 09:57:28 CST 2014,
To: Sun Sep 06 09:57:28 CST 2015]
Issuer: CN=ROOT
SerialNumber: [ 206b697b]

]
Algorithm: [SHA1withRSA]
Signature:
0000: 53 6A FD FE E6 3A 5E 6E A6 43 C4 F4 D1 56 D4 08 Sj...:^n.C...V..
0010: 7E 3B 8B 73 68 71 56 AB 96 FE 24 E7 2D DC 04 BB .;.shqV...$.-...
0020: 14 B0 C6 71 8D F0 3E EC FE D8 5B BB 8C 0F 55 63 ...q..>...[...Uc
0030: 2B 38 8E 45 F1 2D F0 BB 8C 6D 13 A8 11 37 E1 FA +8.E.-...m...7..
0040: 77 AF C7 73 72 2B 40 4F 74 32 F6 3C 24 E6 AB ED w..sr+@Ot2.<$...
0050: 2C 6F 19 2E DC 58 5F CB 75 62 40 2F 3E BE 59 99 ,o...X_.ub@/>.Y.
0060: C0 1F 7A 70 15 AF C3 66 B3 4F C9 11 C3 45 59 EF ..zp...f.O...EY.
0070: 36 F4 1C C9 9B FA 5E 43 A0 28 DB 07 0D F2 53 6E 6.....^C.(....Sn

]

5.加载证书

这是类似于加载私钥，我们需要通过我们要提取证书别名。java代码

package cn.iigrowing.keystore.store;

import java.io.FileInputStream;
import java.security.KeyStore;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class IigJavaStore6 {
    final static Logger logger = LoggerFactory.getLogger(IigJavaStore6.class);

    public static void main(String[] args) throws Exception {
        try {
            KeyStore keyStore = KeyStore.getInstance("JKS");
            keyStore.load(new FileInputStream("mytestkey.jks"), "password".toCharArray());

            java.security.cert.Certificate cert = keyStore.getCertificate("single_cert");

            System.out.println(cert.toString());
        } catch (Exception ex) {
            ex.printStackTrace();
        }
    }
}

输出将是：
代码
[
[
Version: V3
Subject: CN=SINGLE_CERTIFICATE
Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5

Key: Sun RSA public key, 1024 bits
modulus: 99756834215197288877309915243024788596281418171661241282881476656110879586349799740269767889529808199104172091786860877280382867461569439907754755558759387462421169749111354565793974372777424046360810758009149155148290676527032833774084635148674232352006810533640038723102562578516643345287042787777951043863
public exponent: 65537
Validity: [From: Sat Sep 06 10:14:33 CST 2014,
To: Sun Sep 06 10:14:33 CST 2015]
Issuer: CN=SINGLE_CERTIFICATE
SerialNumber: [ 6943e549]

]
Algorithm: [SHA1withRSA]
Signature:
0000: 35 58 70 96 F4 35 82 2A   95 9F BB 31 02 6E 7C 29 5Xp..5.*...1.n.)
0010: 4A FE AF EB 2D B5 3A A7   C7 9D 4C 9A 34 2C 5C 46 J...-.:...L.4,\F
0020: C2 82 A8 AC 1A C0 98 A5   67 21 74 7B 1E E2 E5 AC ........g!t.....
0030: DE B2 1D 87 BE 16 45 9B   D0 2A D3 2B F6 E1 4B 35 ......E..*.+..K5
0040: 27 8B A7 0A EF F2 07 41   90 A6 69 07 BE 87 C5 B1 '......A..i.....
0050: 54 DE DB A2 5A 41 47 3B   3F A7 74 6F 5C C8 8D B4 T...ZAG;?.to\...
0060: C8 65 2B 0F 8E 94 A8 80   C7 8B B5 78 FA C2 9C ED .e+........x....
0070: 8E EC 28 E4 8E 62 A1 59   6A BC 37 7B 0D FC C7 AF ..(..b.Yj.7.....

]

6.导入密钥和证书

这个过程其实很简单，我们首先需要加载密钥库，将证书导入。然后我们还需要加载另一个密钥库，我们需要进口证书。接下来，我们需要从源库获得证书并把它转化为目标库。
既然我们不能提取张根硕私钥，所以我们只能导入证书硕。然而，我们可以从其他类型的密钥提取私钥（12），然后将它们存储在keystore硕。
我们将在以后的文章中其他类型keystore。来源： http://www.webkfa.com/one7/w495.html

不同格式证书导入keystore方法

2016-03-08资料java， Securityiigadmin

Java自带的keytool工具是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书，用于（通过数字签名）自我认证（用户向别的用户/服务认证自己）或数据完整性以及认证服务。它还允许用户储存他们的通信对等者的公钥（以证书形式）。

keytool 将密钥和证书储存在一个所谓的密钥仓库（keystore）中。缺省的密钥仓库实现将密钥仓库实现为一个文件。它用口令来保护私钥。

Java KeyStore的类型

JKS和JCEKS是Java密钥库(KeyStore)的两种比较常见类型(我所知道的共有5种，JKS, JCEKS, PKCS12, BKS，UBER)。

JKS的Provider是SUN，在每个版本的JDK中都有，JCEKS的Provider是SUNJCE，1.4后我们都能够直接使用它。

jks(java key store)：
java用的存储密钥的容器。可以同时容纳n个公钥或私钥，后缀一般是.jks或者.keystore或.truststore等，千奇百怪。不管什么后缀，它就是一个容器，各个公司或机构叫法不同而已。比如把只包含"受信任的公钥"的容器存成.truststore文件等。
用jdk\bin目录下的keytool.exe对其进行查看，导入，导出，删除，修改密码等各种操作。可以对jks容器加密码，输入正确才可以操作此容器中密钥。还有一个密码的概念与上者不同，是jks中存储着的私钥的密码，通常是绝密的。

JCEKS在安全级别上要比JKS强，使用的Provider是JCEKS(推荐)，尤其在保护KeyStore中的私钥上（使用TripleDes）。

PKCS#12是公钥加密标准，它规定了可包含所有私钥、公钥和证书。其以二进制格式存储，也称为 PFX 文件，在windows中可以直接导入到密钥区，注意，PKCS#12的密钥库保护密码同时也用于保护Key。

BKS 来自BouncyCastle Provider，它使用的也是TripleDES来保护密钥库中的Key，它能够防止证书库被不小心修改（Keystore的keyentry改掉1个 bit都会产生错误），BKS能够跟JKS互操作，读者可以用Keytool去TryTry。

UBER比较特别，当密码是通过命令行提供的时候，它只能跟keytool交互。整个keystore是通过PBE/SHA1/Twofish 加密，因此keystore能够防止被误改、察看以及校验。以前，Sun JDK(提供者为SUN)允许你在不提供密码的情况下直接加载一个Keystore，类似cacerts，UBER不允许这种情况。

证书导入
Der/Cer证书导入：

要从某个文件中导入某个证书，使用keytool工具的-import命令：

keytool -import -file mycert.der -keystore mykeystore.jks

如果在 -keystore 选项中指定了一个并不存在的密钥仓库，则该密钥仓库将被创建。

如果不指定 -keystore 选项，则缺省密钥仓库将是宿主目录中名为 .keystore 的文件。如果该文件并不存在，则它将被创建。

创建密钥仓库时会要求输入访问口令，以后需要使用此口令来访问。可使用-list命令来查看密钥仓库里的内容：

keytool -list -rfc -keystore mykeystore.jks
详细信息查看:

keytool -list -v -keystore client.p12 -storetype pkcs12

P12格式证书导入：

keytool无法直接导入PKCS12文件。

第一种方法是使用IE将pfx证书导入，再导出为cert格式文件。使用上面介绍的方法将其导入到密钥仓库中。这样的话仓库里面只包含了证书信息，没有私钥内容。

第二种方法是将pfx文件导入到IE浏览器中，再导出为pfx文件。
新生成的pfx不能被导入到keystore中，报错：keytool错误： java.lang.Exception: 所输入的不是一个 X.509 认证。新生成的pfx文件可以被当作keystore使用。但会报个错误as unknown attr1.3.6.1.4.1.311.17.1,查了下资料,说IE导出的就会这样,使用Netscape就不会有这个错误.

第三种方法是将pfx文件当作一个keystore使用。但是通过微软的证书管理控制台生成的pfx文件不能直接使用。keytool不认此格式，报keytool错误： java.io.IOException: failed to decrypt safe contents entry。需要通过OpenSSL转换一下：

1）openssl pkcs12 -in mycerts.pfx -out mycerts.pem
2）openssl pkcs12 -export -in mycerts.pem -out mykeystore.p12

通过keytool的-list命令可检查下密钥仓库中的内容：(包含pfx格式)

keytool -rfc -list -keystore mykeystore.p12 -storetype pkcs12

这里需要指明仓库类型为pkcs12，因为缺省的类型为jks。这样此密钥仓库就即包含证书信息也包含私钥信息。

P7B格式证书导入：

keytool无法直接导入p7b文件。

需要将证书链RootServer.p7b（包含根证书）导出为根rootca.cer和子rootcaserver.cer 。

将这两个证书导入到可信任的密钥仓库中。

keytool -import -alias rootca -trustcacerts -file rootca.cer -keystore testkeytrust.jks
遇到是否信任该证书提示时，输入y
keytool -import -alias rootcaserver -trustcacerts -file rootcaserver.cer -keystore testkeytrust.jks

总结:

1)P12格式的证书是不能使用keytool工具导入到keystore中的。

2)The Sun's PKCS12 Keystore对从IE和其他的windows程序生成的pfx格式的证书支持不太好。

3)P7B证书链不能直接导入到keystore，需要将里面的证书导出成cer格式，再分别导入到keystore。

常见的几种https系统的访问。经https协议的数据经过加密传输，防止第三方监听，冒充和篡改。
1.不需要用户做任何操作，比如https://www.verisign.com/
这是因为此公钥是合法的(公钥是可信任的机构颁发，和实际域名吻合，而且没有到期)。用IE访问时空白处点右键可以查看公钥信息。
2.https的页面会弹出公钥确认提示
公钥不合法(不是可信任的机构颁发，和实际域名不吻合，已到期)，但用户点“是”即表示忽略危险，继续访问。
3.需要往浏览器倒入一个文件才可访问的
一般是银行在线交易等特别需要安全的场合，站方(银行)需要验证访客身份(如要确认必须是已注册的网银商户)，需要在浏览器中导入含有访客私钥的pfx文件。

生成jks：
在银行没有提供jks文件的情况下对帐，需要自己生成jks
对于1，2类https网站，如果java程序访问此地址时在jre默认的信任库中找不到对方证书的颁发机构，则会抛出安全方面的异常。所以要将站方公钥存进一个jks，并在环境变量中设定，表明信任此库中的公钥，才可以正常访问。
我是用现成的make_jks的工具类在程序中读取https://xxxx地址，程序自动抓取出银行公钥并存进一个jks文件。
在浏览器中查看站方公钥时，把公钥导出(一般是cer后缀)，然后用keytool.exe手工将此cer导入一个jks或许也可以?没试过。
以上1，2类https网站，仅仅是用到了公钥的“验证对方身份”功能。对于第3种https网站，也可以找到现成的程序把pfx直接转成jks。既然动用了pfx，一般是把公钥的两个用途和私钥的两个用途都用起来。

Keytool工具使用

2016-03-07资料Securityiigadmin

keystore是java的密钥库、用来进行通信加密用的、比如数字签名。keystore就是用来保存密钥对的，比如公钥和私钥。具体用法，在网上搜java数字签名，文件加密就行了、有很多教程的。

Keytool 把钥匙和证书储存到一个keystore，默任的实现keystore的是一个文件.它用一个密码保护钥匙.

keystore
是一个密码保护的文件，用来存储密钥和证书（也就是说，keystore中存储的有两类型entries）；这个文件（默认的）位于你的home目录，也就是你登录到操作系统的用户名的那个目录。或者通过-keystore参数设为你指定的位置。需要说明的是：如果不通过-keystore来指定位置，将使用home目录中的默认keystore文件。smilingleo原创

通过-alias来检索keystore中的具体内容（keystore中可能存有多个entry）

如果想查看keystore中每个entry的详细信息，比如谁签发的，用-v参数（verbose），里面你还可以看到默认的有效期。

系统签署的证书其有效期默认为一年，通过-validity来设定其具体的天数。

重要：JDK/jre/lib/security目录下面有一个 cacerts的文件，就是一个keystore，其默认密码是changeit。如果一个App Server想建立一个安全的链接到另外一个Server,需要通过一个受信的数字证书，而这个证书就需要存储在cacerts中。smilingleo原创

keytool
用来import, export, list keystore中内容的工具，还可以用来以测试为目的，生成自己签署的证书。

了解了上面的概念之后，你操作起来就比较容易，比如我们想从一个keystore（文件存在home目录的.keystore文件）中删除某个entry，其alias是tomcat5，那么keytool命令就是：
keytool -keystore .keystore -delete -alias tomcat5
是不是很自然？smilingleo原创
Keytool 是一个有效的安全钥匙和证书的管理工具.
Java 中的 keytool.exe （位于 JDK\Bin 目录下）可以用来创建数字证书，所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中，证书库中的一条证书包含该条证书的私钥，公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件，数字证书文件只包括主体信息和对应的公钥。
Keytool 把钥匙和证书储存到一个keystore.默任的实现keystore的是一个文件.它用一个密码保护钥匙.

关于证书的几个概念:
一个证书是一个实体的数字签名,还包含这个实体的公共钥匙值.
公共钥匙 :是一个详细的实体的数字关联,并有意让所有想同这个实体发生信任关系的其他实体知道.公共钥匙用来检验签名;
数字签名:是实体信息用实体的私有钥匙签名（加密）后的数据.这条数据可以用这个实体的公共钥匙来检验签名（解密）出实体信息以鉴别实体的身份;
签名:用实体私有钥匙加密某些消息，从而得到加密数据;
私有钥匙:是一些数字,私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中.公共钥匙用来加密数据，私有钥匙用来计算签名.公钥加密的消息只能用私钥解密，私钥签名的消息只能用公钥检验签名。
实体:一个实体可以是一个人,一个组织,一个程序,一台计算机,一个商业,一个银行,或其他你想信任的东西.
实际上，我们用［1］中的命令已经生成了一个自签名的证书，没有指定的参数都使用的是默认值。
我们也可以用如下命令生成一个自签名的证书：
keytool -genkey -dname "CN=fingki,OU=server,O=server,L=bj,ST=bj,C=CN" -alias myCA -keyalg RSA -keysize 1024 -keystore myCALib -keypass 654321 -storepass 123456 -validity 3650
这条命令将生成一个别名为myCA的自签名证书，证书的keypair的密码为654321，证书中实体信息为 "CN=fingki,OU=server,O=server,L=bj,ST=bj,C=CN"，存储在名为myCALib的keystore中（如果没有将自动生成一个），这个keystore的密码为123456，密钥对产生的算法指定为RSA，有效期为10年。

详细分析如下:
Keystore的别名:
所有的keystore入口(钥匙和信任证书入口)是通过唯一的别名访问.别名是不区分大小写的.如别名Hugo和
hugo指向同一个keystore入口.
可以在加一个入口到keystore的时候使用-genkey参数来产生一个钥匙对(公共钥匙和私有钥匙)时指定别
名.也可以用-import参数加一个证书或证书链到信任证书.
如:
1.
keytool -genkey -alias duke -keypass dukekeypasswd
其中duke为别名,dukekeypasswd为duke别名的密码.这行命令的作用是产生一个新的公共/私有钥匙对.
假如你想修改密码,可以用:
keytool -keypasswd -alias duke -keypass dukekeypasswd -new newpass
将旧密码dukekeypasswd改为newpass.
可以用-keystore指定其名时,将产生指定的keystore.
2.
检查一个keystore:
keytool -list -v -keystore keystore
Enter keystore password:your password(输入密码)
3.输出keystore到一个文件:testkey:
keytool -export -alias duke -keystore keystore -rfc -file testkey
系统输出:
Enter keystore password:your password(输入密码)
Certificate stored in file
例如：keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer
将把证书库 monitor.keystore 中的别名为 monitor 的证书导出到 monitor.cer 证书文件中，它包含证书主体的信息及证书的公钥，不包括私钥，可以公开。
4.输入证书到一个新的truststore:
keytool -import -alias dukecert -file testkey -keystore truststore
Enter keystore password:your new password.(输入truststore新密码)
将keystore导入证书中这里向Java默认的证书 cacerts导入Rapa.cert
keytool -import -alias RapaServer -keystore cacerts -file Rapa.cert -keystore cacerts
5.证书条目的删除
keytool的命令行参数 -delete 可以删除密钥库中的条目，如： keytool -delete -alias RapaServer -keystore d2aApplet.keystore ，这条命令将 d2aApplet.keystore 中的 RapaServer 这一条证书删除了。

7，将证书导出到证书文件
keytool -export -alias myCA -file myCA.cer -keystore myCALib -storepass 123456 -rfc
使用该命令从名为myCALib的keystore中，把别名为myCA的证书导出到证书文件myCA.cer中。(其中-storepass指定keystore的密码，-rfc指定以可查看编码的方式输出，可省略)。
8，通过证书文件查看证书信息
keytool -printcert -file myCA.cer
9，密钥库中证书条目口令的修改
Keytool -keypasswd -alias myCA -keypass 654321 -new newpass -storepass 123456 -keystore myCALib
10，删除密钥库中的证书条目
keytool -delete -alias myCA -keystore myCALib
11，把一个证书文件导入到指定的密钥库
keytool -import -alias myCA -file myCA.cer -keystore truststore
(如果没有名为truststore的keystore，将自动创建,将会提示输入keystore的密码)
12，更改密钥库的密码
keytool -storepasswd -new 123456 -storepass 789012 -keystore truststore
其中-storepass指定原密码，-new指定新密码。
[3]
自己的实例
(1)用法总结:
1.
keystore好像一个数据库.每种操作,都要先指定keystore名与密码,以及操作的对象别名如:
..... -alias AAA -keystore jServer.keystore -storepass 123456
2.
操作的一般格式:
keytool + 操作类型[-genkey,-list -v,-printcert -file,-import -flie,-export -file,-delete,-
keypasswd -new,-storepasswd -new] + 再加上上面的格式.
(2)实例
C:\keytool>keytool -genkey -alias jason -keystore jServer.keystore -keyalg RSA
输入keystore密码： 1234
Keystore 密码太短 -至少必须为6个字符
输入keystore密码： 123456
您的名字与姓氏是什么？
[Unknown]： huang
您的组织单位名称是什么？
[Unknown]： access
您的组织名称是什么？
[Unknown]： access
您所在的城市或区域名称是什么？
[Unknown]： sz
您所在的州或省份名称是什么？
[Unknown]： gd
该单位的两字母国家代码是什么
[Unknown]： china
CN=huang, OU=access, O=access, L=sz, ST=gd, C=china 正确吗？
[否]： y
输入<jason>的主密码
（如果和 keystore 密码相同，按回车）： 74123
主密码太短 -至少必须为 6 个字符
输入<jason>的主密码
（如果和 keystore 密码相同，按回车）： 456789
C:\keytool>keytool -list -v -keystore jServer.keystore
输入keystore密码： 123456
Keystore 类型： jks
Keystore 提供者： SUN
您的 keystore 包含 1 输入
别名名称： jason
创建日期： 2009-6-24
输入类型：KeyEntry
认证链长度： 1
认证 [1]:
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
发照者： CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号： 4a40fd0f
有效期间： Wed Jun 24 00:04:31 CST 2009 至： Tue Sep 22 00:04:31 CST 2009
认证指纹：
MD5： 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1： 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9

*******************************************
*******************************************

C:\keytool>keytool -export -alias jason -keystore jServer.keystore -rfc -file jasonfile
输入keystore密码： 123456
保存在文件中的认证 <jasonfile>
C:\keytool>keytool -export -alias jason -keystore jServer.keystore -storepass 123456 -rfc -f
ile jasonfile2
保存在文件中的认证 <jasonfile2>
C:\keytool>keytool -export -alias jason -keystore jServer.keystore -storepass 123456 -rfc -f
ile jasonfile.cer
保存在文件中的认证 <jasonfile.cer>
C:\keytool>keytool -printcert -file jasonfile.cer
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
发照者： CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号： 4a40fd0f
有效期间： Wed Jun 24 00:04:31 CST 2009 至： Tue Sep 22 00:04:31 CST 2009
认证指纹：
MD5： 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1： 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
C:\keytool>keytool -keypasswd -alias jason -keypass 456789 -new 20070423 -keystore jServer -
storepass 123456
keytool错误： java.lang.Exception: Keystore 文件不存在： jServer
C:\keytool>keytool -keypasswd -alias jason -keypass 456789 -new 20070423 -keystore jServer.k
eystore -storepass 123456
C:\keytool>keytool -list -v -alias jason -storepass 123456
keytool错误： java.lang.Exception: Keystore 文件不存在： C:\Documents and Settings\Administr
ator\.keystore
C:\keytool>keytool -list -v -alias jason -keystore jServer.keystore -storepass 123456
别名名称： jason
创建日期： 2009-6-24
输入类型：KeyEntry
认证链长度： 1
认证 [1]:
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
发照者： CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号： 4a40fd0f
有效期间： Wed Jun 24 00:04:31 CST 2009 至： Tue Sep 22 00:04:31 CST 2009
认证指纹：
MD5： 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1： 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
C:\keytool>keytool -delete -alias jason -keystore jServer.keystore -storepass 123456
C:\keytool>keytool -list -v -alias jason -keystore jServer.keystore -storepass 123456
keytool错误： java.lang.Exception: 别名 <jason> 不存在
C:\keytool>keytool -import -alias hwj -file jasonfile.cer -keystore jServer.keystore -storep
ass 123456
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
发照者： CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号： 4a40fd0f
有效期间： Wed Jun 24 00:04:31 CST 2009 至： Tue Sep 22 00:04:31 CST 2009
认证指纹：
MD5： 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1： 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
信任这个认证？ [否]： y
认证已添加至keystore中
C:\keytool>keytool -list -v -alias jason -keystore jServer.keystore -storepass 123456
keytool错误： java.lang.Exception: 别名 <jason> 不存在
C:\keytool>keytool -list -v -alias hwj -keystore jServer.keystore -storepass 123456
别名名称： hwj
创建日期： 2009-6-24
输入类型： trustedCertEntry
Owner: CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
发照者： CN=huang, OU=access, O=access, L=sz, ST=gd, C=china
序号： 4a40fd0f
有效期间： Wed Jun 24 00:04:31 CST 2009 至： Tue Sep 22 00:04:31 CST 2009
认证指纹：
MD5： 4A:67:84:5E:C2:5E:3E:16:05:1D:A9:F4:72:79:13:48
SHA1： 01:4A:5A:76:8E:1B:00:D3:5E:FD:CA:3A:D0:52:4E:57:BA:03:26:B9
C:\keytool>keytool -storepasswd -new 20070423 -keystore jServer.keystore -storepass 123456

PKI常见证书格式和转换

2016-03-07资料Securityiigadmin

PKCS 全称是 Public-Key Cryptography Standards ，是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准，PKCS 目前共发布过 15 个标准。

1.证书格式

PEM 格式

PEM格式通常用于数字证书认证机构（Certificate Authorities，CA），扩展名为.pem, .crt, .cer, and .key。内容为Base64编码的ASCII码文件，有类似"-----BEGIN CERTIFICATE-----" 和 "-----END CERTIFICATE-----"的头尾标记。服务器认证证书，中级认证证书和私钥都可以储存为PEM格式（认证证书其实就是公钥）。Apache和类似的服务器使用PEM格式证书。

DER 格式

DER格式与PEM不同之处在于其使用二进制而不是Base64编码的ASCII。扩展名为.der，但也经常使用.cer用作扩展名，所有类型的认证证书和私钥都可以存储为DER格式。Java使其典型使用平台。

PKCS#7/P7B 格式

PKCS#7 或 P7B格式通常以Base64的格式存储，扩展名为.p7b 或 .p7c，有类似BEGIN PKCS7-----" 和 "-----END PKCS7-----"的头尾标记。PKCS#7 或 P7B只能存储认证证书或证书路径中的证书（就是存储认证证书链，本级，上级，到根级都存到一个文件中）。不能存储私钥，Windows和Tomcat都支持这种格式。

PKCS#12/PFX 格式

PKCS#12 或 PFX格式是以加密的二进制形式存储服务器认证证书，中级认证证书和私钥。扩展名为.pfx 和 .p12，PXF通常用于Windows中导入导出认证证书和私钥。

2.转换方式

可以使用OpenSSL命令行工具在不同证书格式之间的转换

PEM to DER

openssl x509 -outform der -in certificate.pem -out certificate.der

PEM to P7B

openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer

PEM to PFX

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

DER to PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

P7B to PEM

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

PFX to PEM

openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes

PXF转PEM后certificate.cer文件包含认证证书和私钥，需要把它们分开存储才能使用。

================================================================

PKCS 全称是 Public-Key Cryptography Standards ，是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准，PKCS 目前共发布过 15 个标准。常用的有：

PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard

X.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。

PKCS#7 常用的后缀是： .P7B .P7C .SPC
PKCS#12 常用的后缀有： .P12 .PFX
X.509 DER 编码(ASCII)的后缀是： .DER .CER .CRT
X.509 PAM 编码(Base64)的后缀是： .PEM .CER .CRT
.cer/.crt是用于存放证书，它是2进制形式存放的，不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式
p10是证书请求
p7r是CA对证书请求的回复，只用于导入
p7b以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥。

一用openssl创建CA证书的RSA密钥(PEM格式)：
openssl genrsa -des3 -out ca.key 1024

二用openssl创建CA证书(PEM格式,假如有效期为一年)：
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
openssl是可以生成DER格式的CA证书的，最好用IE将PEM格式的CA证书转换成DER格式的CA证书。

三 x509到pfx
pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx

四 PEM格式的ca.key转换为Microsoft可以识别的pvk格式。
pvk -in ca.key -out ca.pvk -nocrypt -topvk
五 PKCS#12 到 PEM 的转换
openssl pkcs12 -nocerts -nodes -in cert.p12 -out private.pem
验证 openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem
六从 PFX 格式文件中提取私钥格式文件 (.key)
openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key
七转换 pem 到到 spc
openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc
用 -outform -inform 指定 DER 还是 PAM 格式。例如：
openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER
八 PEM 到 PKCS#12 的转换，
openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem

密钥库文件格式【Keystore】

格式    :  JKS
扩展名  : .jks/.ks
描述    : 【Java Keystore】密钥库的Java实现版本，provider为SUN
特点    :  密钥库和私钥用不同的密码进行保护

格式    :  JCEKS
扩展名  :  .jce
描述    : 【JCE Keystore】密钥库的JCE实现版本，provider为SUN JCE
特点    :  相对于JKS安全级别更高，保护Keystore私钥时采用TripleDES

格式    :  PKCS12
扩展名  :  .p12/.pfx
描述    : 【PKCS #12】个人信息交换语法标准
特点    :  1、包含私钥、公钥及其证书
2、密钥库和私钥用相同密码进行保护

格式    :  BKS
扩展名  : .bks
描述    :  Bouncycastle Keystore】密钥库的BC实现版本，provider为BC
特点    :  基于JCE实现

格式    : UBER
扩展名  : .ubr
描述    : 【Bouncycastle UBER Keystore】密钥库的BC更安全实现版本，provider为BC

证书文件格式【Certificate】
格式 : DER
扩展名 : .cer/.crt/.rsa

描述 : 【ASN .1 DER】用于存放证书
特点 : 不含私钥、二进制

格式       :  PKCS7
扩展名    : .p7b/.p7r
描述       : 【PKCS #7】加密信息语法标准

特点 : 1、p7b以树状展示证书链，不含私钥
2、p7r为CA对证书请求签名的回复，只能用于导入

格式       :  CMS
扩展名    :  .p7c/.p7m/.p7s
描述       : 【Cryptographic Message Syntax】
特点       : 1、p7c只保存证书
2、p7m：signature with enveloped data
3、p7s：时间戳签名文件

格式       :  PEM
扩展名    : .pem
描述       : 【Printable Encoded Message】
特点       : 1、该编码格式在RFC1421中定义，其实PEM是【Privacy-Enhanced Mail】的简写，但他也同样广泛运用于密钥管理
2、ASCII文件
3、一般基于base 64编码
4. Apache 用到的CA证书链就是PEM格式,它实际上可保存普通多个X509证书(.cer),  将每个证书简单加在一起就可以了

格式       :  PKCS10
扩展名    : .p10/.csr
描述       : 【PKCS #10】公钥加密标准【Certificate Signing Request】
特点       :  1、证书签名请求文件
2、ASCII文件
3、CA签名后以p7r文件回复

格式       :  SPC
扩展名    : .pvk/.spc
描述       : 【Software Publishing Certificate】
特点       :  微软公司特有的双证书文件格式，经常用于代码签名，其中
1、pvk用于保存私钥
2、spc用于保存公钥

cer／crt 证书二进制，不含私钥

pem 跟cer／crt 区别说ASCII 表示

p7b 不含私钥

PKCS

PKCS 全称是 Public-Key Cryptography Standards ，是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准。

What is PKCS? http://www.rsa.com/rsalabs/node.asp?id=2308

PKCS 目前共发布过 15 个标准：

（1）PKCS#1：RSA加密标准。PKCS#1定义了RSA公钥函数的基本格式标准，特别是数字签名。它定义了数字签名如何计算，包括待签名数据和签名本身的格式；它也定义了PSA公/私钥的语法。

（2）PKCS#2：涉及了RSA的消息摘要加密，这已被并入PKCS#1中。

（3）PKCS#3：Diffie-Hellman密钥协议标准。PKCS#3描述了一种实现Diffie- Hellman密钥协议的方法。

（4）PKCS#4：最初是规定RSA密钥语法的，现已经被包含进PKCS#1中。

（5）PKCS#5：基于口令的加密标准。PKCS#5描述了使用由口令生成的密钥来加密8位位组串并产生一个加密的8位位组串的方法。PKCS#5可以用于加密私钥，以便于密钥的安全传输（这在PKCS#8中描述）。

（6）PKCS#6：扩展证书语法标准。PKCS#6定义了提供附加实体信息的X.509证书属性扩展的语法（当PKCS#6第一次发布时，X.509还不支持扩展。这些扩展因此被包括在X.509中）。

（7）PKCS#7：密码消息语法标准。PKCS#7为使用密码算法的数据规定了通用语法，比如数字签名和数字信封。PKCS#7提供了许多格式选项，包括未加密或签名的格式化消息、已封装（加密）消息、已签名消息和既经过签名又经过加密的消息。

（8）PKCS#8：私钥信息语法标准。PKCS#8定义了私钥信息语法和加密私钥语法，其中私钥加密使用了PKCS#5标准。

（9）PKCS#9：可选属性类型。PKCS#9定义了PKCS#6扩展证书、PKCS#7数字签名消息、PKCS#8私钥信息和PKCS#10证书签名请求中要用到的可选属性类型。已定义的证书属性包括E-mail地址、无格式姓名、内容类型、消息摘要、签名时间、签名副本（counter signature）、质询口令字和扩展证书属性。

（10）PKCS#10：证书请求语法标准。PKCS#10定义了证书请求的语法。证书请求包含了一个唯一识别名、公钥和可选的一组属性，它们一起被请求证书的实体签名（证书管理协议中的PKIX证书请求消息就是一个PKCS#10）。

（11）PKCS#11：密码令牌接口标准。PKCS#11或“Cryptoki”为拥有密码信息（如加密密钥和证书）和执行密码学函数的单用户设备定义了一个应用程序接口（API）。智能卡就是实现Cryptoki的典型设备。注意：Cryptoki定义了密码函数接口，但并未指明设备具体如何实现这些函数。而且Cryptoki只说明了密码接口，并未定义对设备来说可能有用的其他接口，如访问设备的文件系统接口。

（12）PKCS#12：个人信息交换语法标准。PKCS#12定义了个人身份信息（包括私钥、证书、各种秘密和扩展字段）的格式。PKCS#12有助于传输证书及对应的私钥，于是用户可以在不同设备间移动他们的个人身份信息。

（13）PDCS#13：椭圆曲线密码标准。PKCS#13标准当前正在完善之中。它包括椭圆曲线参数的生成和验证、密钥生成和验证、数字签名和公钥加密，还有密钥协定，以及参数、密钥和方案标识的ASN.1语法。

（14）PKCS#14：伪随机数产生标准。PKCS#14标准当前正在完善之中。为什么随机数生成也需要建立自己的标准呢？PKI中用到的许多基本的密码学函数，如密钥生成和Diffie-Hellman共享密钥协商，都需要使用随机数。然而，如果“随机数”不是随机的，而是取自一个可预测的取值集合，那么密码学函数就不再是绝对安全了，因为它的取值被限于一个缩小了的值域中。因此，安全伪随机数的生成对于PKI的安全极为关键。

（15）PKCS#15：密码令牌信息语法标准。PKCS#15通过定义令牌上存储的密码对象的通用格式来增进密码令牌的互操作性。在实现PKCS#15的设备上存储的数据对于使用该设备的所有应用程序来说都是一样的，尽管实际上在内部实现时可能所用的格式不同。PKCS#15的实现扮演了翻译家的角色，它在卡的内部格式与应用程序支持的数据格式间进行转换。

X509

X.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。X.509是国际电信联盟-电信（ITU-T）部分标准和国际标准化组织（ISO）的证书格式标准。作为ITU-ISO目录服务系列标准的一部分，X.509是定义了公钥证书结构的基本标准。1988年首次发布，1993年和1996年两次修订。当前使用的版本是X.509 V3，它加入了扩展字段支持，这极大地增进了证书的灵活性。X.509 V3证书包括一组按预定义顺序排列的强制字段，还有可选扩展字段，即使在强制字段中，X.509证书也允许很大的灵活性，因为它为大多数字段提供了多种编码方案.

一用openssl创建CA证书的RSA密钥(PEM格式)：
openssl genrsa -des3 -out ca.key 1024

三 x509到pfx
pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx

密钥库文件格式【Keystore】

格式     : JKS
扩展名 : .jks/.ks
描述     : 【Java Keystore】密钥库的Java实现版本，provider为SUN
特点     : 密钥库和私钥用不同的密码进行保护

格式     : JCEKS
扩展名 : .jce
描述     : 【JCE Keystore】密钥库的JCE实现版本，provider为SUN JCE
特点     : 相对于JKS安全级别更高，保护Keystore私钥时采用TripleDES

格式     : PKCS12
扩展名 : .p12/.pfx
描述     : 【PKCS #12】个人信息交换语法标准
特点     : 1、包含私钥、公钥及其证书
2、密钥库和私钥用相同密码进行保护

格式     : BKS
扩展名 : .bks
描述     : Bouncycastle Keystore】密钥库的BC实现版本，provider为BC
特点     : 基于JCE实现

格式 : UBER
扩展名 : .ubr
描述 : 【Bouncycastle UBER Keystore】密钥库的BC更安全实现版本，provider为BC

证书文件格式【Certificate】
格式 : DER
扩展名 : .cer/.crt/.rsa

描述 : 【ASN .1 DER】用于存放证书
特点 : 不含私钥、二进制

格式          : PKCS7
扩展名       : .p7b/.p7r
描述          : 【PKCS #7】加密信息语法标准

特点 : 1、p7b以树状展示证书链，不含私钥
2、p7r为CA对证书请求签名的回复，只能用于导入

格式          : CMS
扩展名       : .p7c/.p7m/.p7s
描述          : 【Cryptographic Message Syntax】
特点          : 1、p7c只保存证书
2、p7m：signature with enveloped data
3、p7s：时间戳签名文件

格式          : PEM
扩展名       : .pem
描述          : 【Printable Encoded Message】
特点          : 1、该编码格式在RFC1421中定义，其实PEM是【Privacy-Enhanced Mail】的简写，但他也同样广泛运用于密钥管理
2、ASCII文件
3、一般基于base 64编码

格式         : PKCS10
扩展名      : .p10/.csr
描述         : 【PKCS #10】公钥加密标准【Certificate Signing Request】
特点         : 1、证书签名请求文件
2、ASCII文件
3、CA签名后以p7r文件回复

格式         : SPC
扩展名      : .pvk/.spc
描述         : 【Software Publishing Certificate】
特点         : 微软公司特有的双证书文件格式，经常用于代码签名，其中
1、pvk用于保存私钥
2、spc用于保存公钥