Кеитоол је услужни програм командне линије који вам омогућава да управљате/чувате криптографске кључеве и сертификате.
Ако је на вашем систему инсталирана Јава, можете користити команду кеитоол да увезете ЦА сертификат, наведете сертификате, креирате самопотписане сертификате, сачувате приступне фразе и јавне/приватне кључеве и урадите још много тога.
Збуњен? Не брини; Објаснићу то једноставнијим речима док читате.
Имајте на уму да користим Линук да тестирам команде и да вам објасним нешто више о томе на примерима.
Команде Кеитоол-а можете користити и на Виндовс-у и мацОС-у.
Преглед садржаја
Шта је команда Кеитоол?
То је услужни програм за управљање кључевима и сертификатима. Омогућава вам да чувате парове приватних/јавних кључева, који обично служе за верификовање/аутентификацију приступа услугама.
С обзиром на наслов овог чланка, може се претпоставити да наредбу користе углавном системски администратори и програмери.
Углавном, да, али корисник може бити креативан са командом кеитоол за складиштење приступних фраза и тајних кључева за потребе аутентификације, шифровања и дешифровања. Дакле, ако сте радознали, требало би да га испробате на свом систему.
Ако сте нови у концепту криптографских кључева, можда бисте желели да погледате наш чланак о шифровању података пре него што испробате команде алата за кључеве.
Штавише, провера примера команди ОпенССЛ такође вам може дати неку представу о томе како се разликује и шта можете да урадите са било којом од њих.
Направите самопотписани сертификат
keytool -genkeypair -alias <alias> -keypass <keypass> -validity <validity> -storepass <storepass>
За разлику од ССЛ сертификата који купите, самопотписани сертификат се користи само у сврхе развоја/тестирања за коришћење безбедне везе.
Можете га генерисати користећи горе поменуту синтаксу команде кеитоол. На пример, ево како то изгледа:
keytool -genkeypair -alias techblog.co.rs -keypass passforkeystore -validity 365 -storepass passforkeystore
Можете користити било које име за псеудоним; Користим вдзвдз као текст чувара места. Можете да прилагодите валидност и наведете лозинку за Кеисторе замењујући „пассфоркеисторе“ у горњој команди.
Имајте на уму да је само једна лозинка подржана за ПКЦС12 КеиСторес. Међутим, то је згодан тип Кеисторе-а који није специфичан за Јава.
Ако су вам потребне две различите лозинке за складиште кључева и сертификат, можда ћете желети да експлицитно кажете команди кеитоол да користи други интерфејс.
Више о томе можете прочитати у званичној документацији.
Када наставите са креирањем, тражиће додатне детаље ради аутентичности. Ево како би то требало да изгледа:
What is your first and last name? [Unknown]: Ankush What is the name of your organizational unit? [Unknown]: techblog.co.rs What is the name of your organization? [Unknown]: techblog.co.rs What is the name of your City or Locality? [Unknown]: Bhubaneswar What is the name of your State or Province? [Unknown]: Odisha What is the two-letter country code for this unit? [Unknown]: 91 Is CN=Ankush, OU=techblog.co.rs, O=techblog.co.rs, L=Bhubaneswar, ST=Odisha, C=91 correct? [no]: yes
Направите Јава складиште кључева и пар кључева
keytool -genkeypair -keyalg RSA -keysize 2048 -keystore keystore.jks -alias geekflarejava -validity 3650
Генеришите Јава складиште кључева и увезите сертификат
Уверите се да имате важећи сертификат или да сте га раније генерисали; када завршите, можете да га увезете и генеришете Јава Кеисторе.
keytool -importcert -file test.crt -keystore truststore.jks -alias techblog.co.rs
Генеришите пар кључева за подразумевано складиште кључева са субјектом
Можете брзо да генеришете пар кључева (рецимо са именом „ца“) користећи следећу команду:
keytool -alias ca -dname CN=CA -genkeypair
Направите ланац потписаних сертификата
Претпоставимо да сте креирали парове кључева ца и ца1. Можете креирати ланац потписаних сертификата где ће ца потписати ца1 следећим командама:
keytool -alias ca1 -certreq
keytool -alias ca -gencert -ext san=dns:ca1
keytool -alias ca1 -importcert
Ланац можете употпунити са још два пара кључева ца1 и ца2, где ће ца1 потписати ца2.
Увоз сертификата
Ако желите да увезете сертификат из доступне датотеке, ево шта можете да урадите:
keystool -import -alias techblog.co.rs -file geekflareserver.cer
Креирајте захтев за потписивање сертификата (ЦСР) за постојеће складиште кључева
С обзиром да сте већ креирали Кеисторе, можете да генеришете ЦСР.
keytool -certreq -keyalg rsa -keystore keystore.jks -alias server -file techblog.co.rs.csr
Листа сертификата ускладиштених у Јава Кеисторе
Складиште кључева може имати више уноса сертификата. Под претпоставком да проверавамо листу сертификата у бази података „кеисторе.јкс“, ево шта треба да унесемо:
keytool -v -list -keystore keystore.jks
Излаз за ово ће изгледати овако:
keytool -v -list -keystore keystore.jks Enter keystore password: Keystore type: PKCS12 Keystore provider: SUN Your keystore contains 2 entries Alias name: geekflarecert Creation date: 16-Nov-2022 Entry type: PrivateKeyEntry Certificate chain length: 1 Certificate[1]: Owner: CN=Ankush, OU=Geek, O=techblog.co.rs, L=Bhubaneswar, ST=od, C=91 Issuer: CN=Ankush, OU=Geek, O=techblog.co.rs, L=Bhubaneswar, ST=od, C=91 Serial number: a0b9a99 Valid from: Wed Nov 16 09:42:37 IST 2022 until: Sat Nov 13 09:42:37 IST 2032 Certificate fingerprints: SHA1: 23:7C:65:A7:A6:84:18:F8:45:04:92:DF:D4:BB:0F:91:6D:A5:C5:BE SHA256: C0:25:ED:B8:CF:1A:E6:E1:C5:75:A8:10:8F:CD:BE:42:26:96:9C:9A:FA:74:65:07:71:06:9A:2C:F5:80:FE:7F Signature algorithm name: SHA256withRSA Subject Public Key Algorithm: 2048-bit RSA key Version: 3
Проверите садржај једног сертификата
С обзиром да већ имате генерисани сертификат, можете да проверите више о њему користећи следеће:
keytool -v -printcert -file server.crt
Прегледајте сертификате у Јава складишту кључева
Можете навести све сертификате из базе података Кеисторе-а. Ево како изгледа команда:
keytool -v -list -keystore keystore.jks
Прикажите Кеисторе користећи Алиас и Кеисторе
Ако желите да проверите Кеисторе користећи његов псеудоним који сте поставили приликом креирања, унесите следеће:
keytool -v -list -keystore keystore.jks -alias geekflareserver
Наведите сертификате у КеиСторе-у
Ако желите да проверите сертификате ускладиштене у подразумеваном складишту кључева, користите команду:
keytool -list -storepass passforkeystore
Морате да замените „пассфоркеисторе“ лозинком коју сте поставили.
Погледајте информације о сертификату
Ако треба да проверите детаље за један сертификат, можете користити његов псеудоним без навођења кључне базе података.
Ево како то изгледа:
keytool -list -v -alias techblog.co.rs -storepass passforkeystore
Погледајте сертификат у ПЕМ формату
ПЕМ је један од најчешћих формата за сертификате и криптографске кључеве. Ако желите да проверите сертификат са ПЕМ-ом, унесите следеће:
keytool -v -printcert -file techblog.co.rs.crt -rfc
Промените лозинку за Јава складиште кључева
Ако сте већ креирали лозинку за Јава Кеисторе, можете је променити користећи команду:
keytool -delete -alias techblog.co.rs -keystore keystore.jks
Избришите сертификат из Јава Кеисторе-а
Можете одредити Јава Кеисторе и његов псеудоним да бисте га избрисали. На пример:
keytool -delete -alias techblog.co.rs -keystore keystore.jks
Истражите команду и потражите помоћ
Команда има неколико аргумената и екстензија за обављање многих ствари. У зависности од вашег случаја употребе, можда ћете морати или не морате да их користите све.
Дакле, ако желите да зароните дубоко у опције команди, увек можете да унесете:
keytool -help
У оба случаја, ако користите Линук терминал, препоручио бих да прочитате ман (ручну) страницу са овом командом:
man keytool
Са командом ман, можете добити све потребне детаље о команди кеитоол.
Зато задржите своју супермоћ да научите све што можете о томе!
Окончање
Путања до датотека и других опција прилагођавања могу се мало разликовати од платформе коју користите. Такође можете погледати Орацлеову документацију за стандардизоване опције.
Кеитоол је одличан алат за низ задатака. Испробајте га и видите шта можете да урадите са њим!
Такође можете истражити неке Линук команде да бисте одржавали и одржавали системе да раде оптимално.