Java Keystore教程



目录

1.简介 2. SSL及其工作方式 3.私钥 4.公开证书 5.根证书 6.证书颁发机构 7.证书链 8.使用Java keytool的密钥库 9.密钥库命令 10.在Apache Tomcat上使用密钥库和自签名证书配置SSL

1.简介

我们谁没有去ebay,亚马逊买东西或他的个人银行帐户来检查。 您是否认为这些站点足够安全,可以存储您的个人数据(信用卡号或银行帐号等)?

这些站点中的大多数都使用套接字层(SSL)协议来保护其Internet应用程序。 SSL允许在传输之前对来自客户端(例如Web浏览器)的数据进行加密,从而使试图嗅探数据的人无法对其进行解密。

许多Java应用程序服务器和Web服务器都支持将密钥库用于SSL配置。 如果要构建安全的Java程序,那么学习构建密钥库是第一步。

2. SSL及其工作方式

客户端始终使用HTTPS(而不是http://)开头的URL发起基于HTTP的SSL连接。 在SSL会话开始时,将执行SSL握手。 该握手产生会话的密码参数。 下图显示了如何处理SSL握手的简化概述。

Java密钥库Tutorial_html_m4e1c1e9d

简而言之,它是如何工作的:

  1. 浏览器请求一个安全页面(通常为https://)。
  2. Web服务器发送其公钥及其证书。
  3. 浏览器检查证书是否由受信任的方(通常是受信任的根CA)颁发,证书仍然有效,并且证书与联系的网站有关。
  4. 然后,浏览器使用公共密钥对随机对称加密密钥进行加密,并将其与所需的已加密URL以及其他已加密的http数据一起发送到服务器。
  5. Web服务器使用其私钥解密对称加密密钥,并使用对称密钥解密URL和http数据。
  6. Web服务器发回请求的html文档和使用对称密钥加密的http数据。
  7. 浏览器使用对称密钥解密http数据和html文档并显示信息。

SSL的世界实质上具有三种类型的证书:私钥,公钥(也称为公共证书或站点证书)和根证书。

3.私钥

私钥包含服务器的身份信息以及密钥值。 它应该保持此密钥的安全并受密码保护,因为它用于在握手期间协商哈希值。 有人可以使用它来解密流量并获取您的个人信息。 就像将房门钥匙留在门锁中一样。

4.公开证书

公共证书(公共密钥)是提供给客户的部分,就像您在机场出示护照时一样。 与私有密钥紧密相关的公共证书是使用证书签名请求(CSR)从私有密钥创建的。 创建私钥后,您将创建一个CSR,该CSR被发送到您的证书颁发机构(CA)。 CA返回签名的证书,其中包含有关服务器身份和CA的信息。

5.根证书

根CA证书是一个CA证书,它只是一个自签名证书。 该证书代表签发证书的实体,被称为证书颁发机构或CA,例如VeriSign,Thawte等。

6.证书颁发机构

可以为您签名证书的公司,例如VeriSign,Thawte,Commodo,GetTrust。 此外,许多公司和机构都通过自己从头开始构建完整的实现,或者使用开源选项(例如OpenSSL)充当自己的CA。

7.证书链

当服务器和客户端建立SSL连接时,会向客户端提供一个证书。 客户应确定是否信任此证书,此过程称为证书链。 客户端检查证书的颁发者,搜索其受信任根证书的列表,并将呈现的证书上的颁发者与受信任证书的主题进行比较。

如果找到匹配项,则连接继续。 如果不是,则Web浏览器可能会弹出一个对话框,警告您它不信任证书,并提供信任证书的选项。

8.使用Java keytool的密钥库

Java Keytool是密钥和证书管理实用程序。 它允许用户管理自己的公钥/私钥对和证书。 Java Keytool将密钥和证书存储在所谓的密钥库中 。 它使用密码保护私钥。

Java密钥库中的每个证书都与唯一的别名关联。 创建Java密钥库时,您将首先创建.jks文件,该文件最初仅包含私钥,然后生成CSR。 然后,您会将证书(包括所有根证书)导入密钥库。

9.密钥库命令

创建密钥库,密钥和证书请求

  • 生成Java密钥库和密钥对
    keytool -genkey -alias mydomain -keyalg RSA -keystore keystore.jks -storepass password
  • 为现有的Java密钥库生成证书签名请求(CSR)
    keytool -certreq -alias mydomain -keystore keystore.jks -storepass password -file mydomain.csr
  • 生成密钥库和自签名证书
    keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity 360

进口证明书

  • 将根或中间CA证书导入到现有的Java密钥库中
keytool -import -trustcacerts -alias root -file Thawte.crt -keystore keystore.jks -storepass password
  • 将签名的主证书导入到现有的Java密钥库中
    keytool -import -trustcacerts -alias mydomain -file mydomain.crt -keystore keystore.jks -storepass password
  • 出口证明书

    • 从密钥库导出证书
      keytool -export -alias mydomain -file mydomain.crt -keystore keystore.jks -storepass password

    检查/列出/查看证书

    • 检查独立证书
      keytool -printcert -v -file mydomain.crt
    • 检查哪些证书在Java密钥库中
      keytool -list -v -keystore keystore.jks -storepass password
    • 使用别名检查特定的密钥库条目
      keytool -list -v -keystore keystore.jks -storepass password -alias mydomain

    删除证书

    • 从Java Keytool密钥库中删除证书
      keytool -delete -alias mydomain -keystore keystore.jks -storepass password

    修改密码

    • 更改Java密钥库密码
      keytool -storepasswd -new new_storepass -keystore keystore.jks -storepass password
    • 更改私钥密码
      keytool -keypasswd -alias client -keypass old_password -new new_password -keystore client.jks -storepass password

    10.在Apache Tomcat上使用密钥库和自签名证书配置SSL

    1. 使用此命令生成新的密钥库和自签名证书,将提示您输入特定信息,例如用户名,组织单位,公司和位置。
      keytool -genkey -alias tomcat -keyalg RSA -keystore /home/ashraf/Desktop/JavaCodeGeek/keystore.jks -validity 360

      Java密钥库Tutorial_html_m5d3841d

    2. 您可以列出使用此命令刚创建的证书详细信息
      keytool -list -keystore /home/ashraf/Desktop/JavaCodeGeek/keystore.jks

      Java密钥库Tutorial_html_131ca506

    3. 下载Tomcat 7
    4. 配置Tomcat的服务器以支持SSL或https连接。 在Tomcat \ conf \ server.xml中添加连接器元素
      <Connector port="8443" maxThreads="150" scheme="https" secure="true" 
      SSLEnabled="true" keystoreFile="/home/ashraf/Desktop/JavaCodeGeek/.keystore" keystorePass="password" clientAuth="false" keyAlias="tomcat" sslProtocol="TLS" />
    5. 启动Tomcat并转到https:// localhost:8443 / ,您将发现以下安全问题,浏览器将在其中显示不受信任的错误消息。 就电子商务而言,此类错误消息会导致对网站立即失去信心,并且组织可能会失去大多数消费者的信心和业务,这很正常,因为您的证书尚未由Thawte或Verisign等CA签署谁将验证请求者的身份并签发签名证书。 Java KeyStore Tutorial_html_15195a43
    6. 您仍然可以单击继续,直到您收到签名证书。

    翻译自: https://www.javacodegeeks.com/2014/07/java-keystore-tutorial.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/362814.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

spring AOP源码分析(一)

spring AOP源码分析&#xff08;一&#xff09; 对于springAOP的源码分析&#xff0c;我打算分三部分来讲解&#xff1a;1.配置文件的解析&#xff0c;解析为BeanDefination和其他信息然后注册到BeanFactory中&#xff1b;2.为目标对象配置增强行为以及代理对象的生成&#xff…

异或前缀和,组合数学——cf1054D

/* 每个异或前缀和sum[i]只有两个值 区间异或和不为0&#xff0c;即两个不相等的前缀和 sum[i]的两个前缀和只要标记一个就可以了&#xff0c;为了去重只用map保存最小的那个来计数 最后统计相同的前缀和时&#xff0c;为了使相同的最小&#xff0c;每个map的值要平分 */ #inc…

elementUI之switch应用的坑

前言&#xff1a; 因为项目中用到了饿了么出品的element-ui这一套ui框架&#xff0c;所以很多地方都踩在了坑里&#xff0c;前面碰到了一些&#xff0c;今天着重聊一下switch这个组件。 首先switch接受Boolean类型的数据&#xff0c;莫非是true和false。 对switch进行赋值&a…

C# 反射机制(转)

1、 什么是反射2、 命名空间与装配件的关系3、 运行期得到类型信息有什么用4、 如何使用反射获取类型5、 如何根据类型来动态创建对象6、 如何获取方法以及动态调用方法7、 动态创建委托 1、什么是反射 Reflection&#xff0c;中文翻译为反射。 这是.Net中获取运…

《软件工程导论》课后习题解答

来源&#xff1a;https://blog.csdn.net/Rong_Toa/article/details/80771976 第一章 软件工程概论 1&#xff0e;什么是软件危机&#xff1f; 软件危机是指在计算机软件的开发和维护过程中所遇到的一系列严重问题。这些问题表现在以下几个方面&#xff1a; (1)用户对开发出的软…

attr和prop的区别以及在企业开发中应该如何抉择

attr和prop有很多相同的地方&#xff0c;比如都可以操作标签的属性节点&#xff0c;而且获取的时候都只可以获取到相同节点的第一个&#xff0c;例如这样&#xff1a; $(span).attr(class);和$(span).prop(class);都只能返回第一个span的class 同理做属性的修改和添加,删除也都…

从n个数里面找最大的两个数理论最少需要比较

答案是&#xff1a;nlogn-2 过程是这样的&#xff1a;甲乙比甲胜出&#xff0c;丙丁比丙胜出&#xff0c;最后甲丙比较&#xff0c;甲胜出。。。容易得出找出最大数为n-1次。现在开始找出第二大的数字&#xff1a;明显&#xff0c;第二大的数字&#xff0c;一定和甲进行过比较。…

Java抽象– ULTIMATE教程(PDF下载)

编者注 &#xff1a;在本文中&#xff0c;我们提供了Java教程中的全面抽象。 抽象发生在类级别的设计中&#xff0c;目的是隐藏实现API /设计/系统提供的功能的方式的实现复杂性&#xff0c;从某种意义上讲简化了访问底层实现的“接口”。 此过程可以在越来越“更高”的抽象层次…

Entity Data Model (EDM) 深入分析, Part 3

EntityClient 实体框架&#xff08;Entity Framework&#xff09;在ADO.NET 3.5 提供程序的基础上引入新的 ADO.NET 提供程序 EntityClient。Entity-Client 看上去与之前使用的 ADO.NET 提供程序非常类似&#xff0c;它将提供第一个抽象&#xff0c;可允许开发人员使用标准的 C…

用递归方式判断字符串是否是回文

题目要求&#xff1a;使用递归方式判断某个字串是否是回文&#xff08; palindrome &#xff09;回文”是指正着读、反着读都一样的句子。比如“我是谁是我” 设计思想&#xff1a;首先能实现可输出任意字符串&#xff0c;然后定义返回值数据类型&#xff0c;判断递归结束条件的…

Vue.js 相关知识(动画)

1. 简介 Vue 在插入、更新或移除 DOM 时&#xff0c;提供多种不同方式的过渡效果&#xff0c;并提供 transition 组件来实现动画效果&#xff08;用 transition 组件将需执行过渡效果的元素包裹&#xff09; 语法&#xff1a;<transition name””>元素或组件&#xff…

三个水桶等分8升水的问题

目录 智力题目答案问题分析程序代码&#xff08;PHP&#xff09;运行结果小结推荐阅读智力题目 有三个容积分别为3升、5升、8升的水桶&#xff0c;其中容积为8升的水桶中装满了水&#xff0c;容积为3升和容积为5升的水桶都是空的。三个水桶都没有刻度&#xff0c;现在需要将大水…

Maven Git发布

在开始这篇文章之前&#xff0c;我需要指出我在去年才开始认真地与Git合作 。 不幸的是&#xff0c;我从事的许多项目仍在使用SVN或CVS&#xff0c;但现在我终于开始使用Git了 。 在过去的几年中&#xff0c;我使用Maven Release Plugin完成了许多软件发行。 我仍然记得我花了…

sqlserver 多表更新

sqlserver 多表更新 update bi_user_organization set bi_user_organization.bi_organization_id b.id frombi_user_organization a, bi_organization_structure b where a.teamb.name 转载于:https://www.cnblogs.com/handsome1013/p/11594075.html

ASP.net Table 控件

功能&#xff1a;在Web页中创建通用表。 属性&#xff1a; 1、CellPadding属性&#xff1a;用于设置表中单元格的边框和内容之间的距离&#xff08;以像素为单位&#xff09;。默认为-1&#xff08;未设置&#xff09;。 2、CellSpacing属性&#xff1a;用于设置表中单元格之间…

JS 判断是否是手机端并跳转操作

JS 判断运行当前脚本的应用程序是否为手机端或者一些其他信息&#xff0c;在我的工作中遇到的不是十分频繁&#xff0c;被我的同事一问就给问住了&#xff0c;所以把之前找到的一些知识点整理出来&#xff0c;供大家参考&#xff0c;若哪里不对欢迎指出&#xff0c;我会及时的更…

使用拦截器分析Java EE应用程序的性能下降/提高

在开发具有某些性能要求的Java EE应用程序时&#xff0c;必须在每个发行版之前验证是否满足这些要求。 您可能会想到&#xff0c;哈德森的一项工作每天晚上在某些特定的硬件平台上执行一系列测试测量。 您可以检查已实现的时间并将它们与给定的要求进行比较。 如果测量值与要求…

子组件上下结构布局自适应父组件宽度高度

1、父级页面 <template><div><div class"parentDiv"><!-- gys-org-navigator 在这里是全局注册组件 --><gys-org-navigator ref"orgNavigator" :org-tree"orgTree" :org-id"orgId" :org-type"orgType…

狸猫换太子:动态替换WinCE的原生驱动!

////TITLE:// 狸猫换太子&#xff1a;动态替换WinCE的原生驱动&#xff01;//AUTHOR:// norains//DATE:// Friday 23-April-2010//Environment:// Windows CE 5.0 TCC7901// 大家应该都知道&#xff0c;WinCE系统的驱动是可以非常方便地动态加载和卸载的&#xff…

mysql批量更新

由于mysql没有top函数&#xff0c;limit也不支持子查询&#xff0c;所以批量修改、查询就显得比较麻烦&#xff0c; 但是我还是想到了一个办法&#xff1b; 即创建一个临时表&#xff0c;用于批量操作&#xff1b; 详细如下&#xff1a; 1 create TEMPORARY TABLE test(cardId …