BlogJava-一直在努力 !-随笔分类-linuxhttp://www.blogjava.net/bluepluto/category/12296.htmlzh-cnTue, 09 Jun 2015 01:37:34 GMTTue, 09 Jun 2015 01:37:34 GMT60Keystore 相关的一些概念http://www.blogjava.net/bluepluto/archive/2015/06/07/425540.html一直在努力 !一直在努力 !Sun, 07 Jun 2015 06:16:00 GMThttp://www.blogjava.net/bluepluto/archive/2015/06/07/425540.htmlhttp://www.blogjava.net/bluepluto/comments/425540.htmlhttp://www.blogjava.net/bluepluto/archive/2015/06/07/425540.html#Feedback0http://www.blogjava.net/bluepluto/comments/commentRss/425540.htmlhttp://www.blogjava.net/bluepluto/services/trackbacks/425540.html
1. JKS (Java KeyStore) 和 PFX (pkcs12) 都是常见的密钥库的格式,用于保存完整的证书密钥对,证书链和信任证书信息,前者是 Sun 制定的,适用于 Java 世界,比如 Tomcat,Geronimo,Websphere 等,后者"据说"常用于 IIS (没配置过) 等。JKS 相关的工具是 JDK 带的 keytool,PFX 可以使用 openssl。

2. JKS 中有存放的内容常见有两类,一个是 PrivateKeyEntry, 包含了完整的证书密钥对,证书链等信息,另外一个是 trustedCertEntry, 包含受信公钥信息。可以使用 keytool -list -keystore 显示。

3. 一般使用工具生成 RSA 非对称密钥对之后,还会由第三方机构 (CA) 生成签名,用于标识密钥所有者的身份,所以通常我们会说,我们将证书下发给客户端,此时的证书包括如下信息,公钥,签名信息等。

4. 使用 JKS 存储信息时,由于 Keystore 中可以存放多个密钥信息,所以通过会使用 alias 标识,需要使用时,需要指定别名。另外,Keystore 本身可以使用 storepassword 保护,而针对每一个 key,也可以是使用 keypassword 保护。

5. keytool 支持导入公钥和其他 keystore,暂不支持导入 PrivateKeyEntry,此时若手中有私钥和证书两个信息,只能先倒入到 PFX 中,再导入到 JKS 中。

openssl pkcs12 -export -in [my_certificate.crt] -inkey [my_key.key]
-out [keystore.p12] -name [new_alias] -CAfile [my_ca_bundle.crt] -caname
 root

keytool -importkeystore -deststorepass [new_keystore_pass]
-destkeypass [new_key_pass] -destkeystore [keystore.jks] -srckeystore
[keystore.p12] -srcstoretype PKCS12 -srcstorepass
[pass_used_in_p12_keystore] -alias [alias_used_in_p12_keystore]

6. JAR 签名,主要是在 META-INF 目录下,除了 MANIFEST.MF 之外,还有 *.SF 和 *.RSA 文件 (后缀随签名使用的算法会略有不同), MF 保存了 JAR 中每个文件的散列信息,一般使用 MD5 或者 SHA-1
Name: AndroidManifest.xml
SHA-256-Digest: vn9XTNvoXBMgbaxUqDoc4WUsWseMfRCQQRSR87+F/Hc=

SF 文件使用 RSAwithSHA1, 针对 MF 中的每条信息再次生成签名信息,另外针对整个 MF 也会生成签名信息。
Name: AndroidManifest.xml
SHA-256-Digest: Pa/g6cA3KpnfBvCD/mgnyczjfLCSkAv2l9A+EVxaJlg=

RSA 中是前述签名所用证书等相关信息

通常我们在读取 Jar 文件的每个 Entry 时,如果 META-INF 目录下有如上文件,会做签名验证,因为散列信息计算需要读取文件内容,所用在调用 getCertifcate 方法时,需要读一下流里面的内容,如果只是验证的目的,读取直接忽略即可,考虑读取性能,可以指定 byte[] buffer 的大小,使用流的 skip 方法时,内部 ZipInputStream 中使用的是
private byte[] tmpbuf = new byte[512];

]]>