The keytool Command

用于创建或向密钥库添加数据的命令：

• -gencert

• -genkeypair

• -genseckey

• -importcert

• -importpass

从另一个密钥库导入内容的命令：

• -importkeystore

生成证书请求的命令：

• -certreq

导出数据的命令：

• -exportcert

显示数据的命令：

• -list

• -printcert

• -printcertreq

• -printcrl

管理密钥库的命令：

• -storepasswd

• -keypasswd

• -delete

• -changealias

显示与安全相关信息的命令：

• -showinfo

显示程序版本的命令：

• -version

用于创建或向密钥库添加数据的命令

-gencert

以下是-gencert命令的可用选项：

• {-rfc}: 以RFC（请求评论）样式输出

• {-infile infile}: 输入文件名

• {-outfile outfile}: 输出文件名

• {-alias alias}: 要处理的条目的别名

• {-sigalg sigalg}: 签名算法名称

• {-dname dname}: 显著名称

• {-startdate startdate}: 证书有效起始日期和时间

• {-ext ext}*: X.509扩展

• {-validity days}: 有效天数

• [-keypass arg]: 密钥密码

• {-keystore keystore}: 密钥库名称

• [-storepass arg]: 密钥库密码

• {-storetype type}: 密钥库类型

• {-providername name}: 提供者名称

• {-addprovider name [-providerarg arg]}: 通过名称（如SunPKCS11）添加安全提供者，并可选配置参数。安全提供者的值是在模块中定义的安全提供者的名称。

  例如，

  keytool -addprovider SunPKCS11 -providerarg some.cfg ...

  注意:

  出于兼容性原因，即使现在在模块中定义了SunPKCS11提供程序，仍然可以使用-providerclass sun.security.pkcs11.SunPKCS11加载SunPKCS11提供程序。这是JDK中唯一需要配置的模块，因此在-providerclass选项中最常用。对于位于类路径上并通过反射加载的传统安全提供者，仍应使用-providerclass。

• {-providerclass class [-providerarg arg]}: 使用完全限定的类名添加安全提供者，并可选配置参数。

  例如，如果MyProvider是通过反射加载的传统提供者，

  keytool -providerclass com.example.MyProvider ...

• {-providerpath list}: 提供者类路径

• {-v}: 详细输出

• {-protected}: 通过受保护机制提供密码

使用-gencert命令生成证书作为对证书请求文件的响应（可以通过keytool -certreq命令创建）。该命令从infile或（如果省略）从标准输入读取请求，使用别名的私钥对其进行签名，并将X.509证书输出到outfile或（如果省略）输出到标准输出。当指定-rfc时，输出格式为Base64编码的PEM；否则，创建二进制DER。

-sigalg值指定应用于签署证书的算法。 startdate参数是证书有效的开始时间和日期。 days参数表示应将证书视为有效的天数。

如果提供dname，则将其用作生成证书的主题。否则，将使用证书请求中的主题。

-ext值显示将嵌入在证书中的X.509扩展。阅读-ext的语法，请参阅常见命令选项。

-gencert选项使您能够创建证书链。以下示例创建一个包含三个证书的证书e1。

以下命令创建四个名为ca、ca1、ca2和e1的密钥对：

keytool -alias ca -dname CN=CA -genkeypair -keyalg rsa
keytool -alias ca1 -dname CN=CA -genkeypair -keyalg rsa
keytool -alias ca2 -dname CN=CA -genkeypair -keyalg rsa
keytool -alias e1 -dname CN=E1 -genkeypair -keyalg rsa

以下两个命令创建一系列已签名证书；ca签署ca1，ca1签署ca2，所有这些证书都是自签名的：

keytool -alias ca1 -certreq |
    keytool -alias ca -gencert -ext san=dns:ca1 |
    keytool -alias ca1 -importcert

keytool -alias ca2 -certreq |
    keytool -alias ca1 -gencert -ext san=dns:ca2 |
    keytool -alias ca2 -importcert

以下命令创建由ca2签署的证书e1并将其存储在e1.cert文件中。因此，e1应该在其证书链中包含ca、ca1和ca2：

keytool -alias e1 -certreq | keytool -alias ca2 -gencert > e1.cert

-genkeypair

以下是-genkeypair命令的可用选项：

• {-alias alias}：要处理的条目的别名

• -keyalg alg：密钥算法名称

• {-keysize size}：密钥位大小

• {-groupname name}：组名。例如，椭圆曲线名称。

• {-sigalg alg}：签名算法名称

• {-signer alias}：签名者别名

• [-signerkeypass arg]：签名者密钥密码

• [-dname name]：专有名称

• {-startdate date}：证书有效起始日期和时间

• {-ext value}*：X.509扩展

• {-validity days}：有效天数

• [-keypass arg]：密钥密码

• {-keystore keystore}：密钥库名称

• [-storepass arg]：密钥库密码

• {-storetype type}：密钥库类型

• {-providername name}：提供者名称

• {-addprovider name [-providerarg arg]}：按名称（如SunPKCS11）添加安全提供者，可选配置参数。

• {-providerclass class [-providerarg arg]}：按完全限定类名添加安全提供者，可选配置参数。

• {-providerpath list}：提供者类路径

• {-v}：详细输出

• {-protected}：通过受保护机制提供密码

使用-genkeypair命令生成密钥对（公钥和相关私钥）。当未指定-signer选项时，公钥将包装在X.509 v3自签名证书中，并存储为单元素证书链。当指定了-signer选项时，将生成新证书，并由指定的签名者签名，并存储为多元素证书链（包含生成的证书本身和签名者的证书链）。证书链和私钥存储在由其别名标识的新密钥库条目中。

-keyalg值指定用于生成密钥对的算法，-keysize值指定要生成的每个密钥的大小。-sigalg值指定应用于签署证书的算法。此算法必须与-keyalg值兼容。

-groupname值指定要生成的密钥的命名组（例如，椭圆曲线的标准或预定义名称）。只能指定-groupname和-keysize中的一个。

-signer值指定已存在于密钥库中的签名者的PrivateKeyEntry的别名。此选项用于使用签名者的私钥签署证书。这对于密钥协议算法特别有用（即-keyalg值为XDH、X25519、X448或DH），因为这些密钥不能用于数字签名，因此无法创建自签名证书。

-signerkeypass值指定签名者的私钥密码。如果签名者条目的私钥受到与存储密码不同的密码保护，则可以指定它。

-dname值指定要与-alias的值关联的X.500专有名称。如果未指定-signer选项，则自签名证书的颁发者和主题字段将填充指定的专有名称。如果指定了-signer选项，则证书的主题字段将填充指定的专有名称，颁发者字段将填充签名者证书的主题字段。如果在命令行上未提供专有名称，则会提示用户输入。

-keypass的值是用于保护生成的密钥对的私钥的密码。如果未提供密码，则会提示用户输入。如果在提示符处按下Return键，则密钥密码将设置为与密钥库密码相同的密码。 -keypass值必须至少包含六个字符。

-startdate的值指定证书的发行时间，也称为X.509证书有效性字段的“Not Before”值。

选项值可以以以下两种形式之一设置：

([+-]nnn[ymdHMS])+

[yyyy/mm/dd] [HH:MM:SS]

使用第一种形式，发行时间将根据当前时间的指定值进行偏移。该值是一系列子值的串联。在每个子值内部，加号（+）表示向前移动，减号（-）表示向后移动。要移动的时间是nnn年、月、日、小时、分钟或秒的单位（分别用y、m、d、H、M或S表示）。通过在每个子值上从左到右使用java.util.GregorianCalendar.add(int field, int amount)方法计算发行时间的确切值。例如，可以通过以下方式指定发行时间：

Calendar c = new GregorianCalendar();
c.add(Calendar.YEAR, -1);
c.add(Calendar.MONTH, 1);
c.add(Calendar.DATE, -1);
return c.getTime()

使用第二种形式，用户以两部分设置确切的发行时间，年/月/日和小时:分钟:秒（使用本地时区）。用户只能提供一部分，这意味着另一部分与当前日期（或时间）相同。用户必须提供格式定义中显示的确切位数的数字（长度不足时用0填充）。当提供日期和时间时，两部分之间有一个（且仅有一个）空格字符。小时应始终以24小时制提供。

当未提供该选项时，起始日期为当前时间。该选项只能提供一次。

date的值指定证书应被视为有效的天数（从由-startdate指定的日期开始，或当未指定-startdate时为当前日期）。

-genseckey

以下是-genseckey命令的可用选项：

• {-alias alias}：要处理的条目的别名

• [-keypass arg]：密钥密码

• -keyalg alg：密钥算法名称

• {-keysize size}：密钥位大小

• {-keystore keystore}：密钥库名称

• [-storepass arg]：密钥库密码

• {-storetype type}：密钥库类型

• {-providername name}：提供者名称

• {-addprovider name [-providerarg arg]}：按名称（如SunPKCS11）添加安全提供者，可选配置参数。

• {-providerclass class [-providerarg arg]}：按完全限定类名添加安全提供者，可选配置参数。

• {-providerpath list}：提供者类路径

• {-v}：详细输出

• {-protected}：通过受保护机制提供密码

使用-genseckey命令生成一个秘密密钥，并将其存储在由alias标识的新KeyStore.SecretKeyEntry中。

-keyalg的值指定用于生成秘密密钥的算法，-keysize的值指定生成的密钥的大小。 -keypass的值是保护秘密密钥的密码。如果未提供密码，则会提示用户输入。如果在提示符处按下Return键，则密钥密码将设置为用于-keystore的相同密码。 -keypass的值必须至少包含六个字符。

-importcert

以下是-importcert命令的可用选项：

• {-noprompt}: 不提示

• {-trustcacerts}: 信任cacerts中的证书

• {-protected}: 通过受保护的机制提供密码

• {-alias alias}: 要处理的条目的别名

• {-file file}: 输入文件名

• [-keypass arg]: 密钥密码

• {-keystore keystore}: 密钥库名称

• {-cacerts}: 访问cacerts密钥库

• [-storepass arg]: 密钥库密码

• {-storetype type}: 密钥库类型

• {-providername name}: 提供程序名称

• {-addprovider name [-providerarg arg]}: 通过名称（如SunPKCS11）添加安全提供程序，带有可选的配置参数。

• {-providerclass class [-providerarg arg]}: 通过完全限定的类名添加安全提供程序，带有可选的配置参数。

• {-providerpath list}: 提供程序类路径

• {-v}: 详细输出

使用-importcert命令从-file file中读取证书或证书链（如果后者以PKCS#7格式的回复或一系列X.509证书的形式提供），并将其存储在由-alias标识的keystore条目中。如果未指定-file file，则从stdin中读取证书或证书链。

keytool命令可以导入X.509 v1、v2和v3证书，以及由该类型证书组成的PKCS#7格式的证书链。要导入的数据必须以二进制编码格式或由Internet RFC 1421标准定义的可打印编码格式（也称为Base64编码）提供。在后一种情况下，编码必须在开始时由一个以-----BEGIN开头的字符串界定，并在结束时由一个以-----END开头的字符串界定。

导入证书有两个原因：将其添加到受信任证书列表中，以及导入从证书颁发机构（CA）接收的证书回复，作为向该CA提交证书签名请求（CSR）的结果。请参阅生成证书请求的命令中的-certreq命令。

导入类型由-alias选项的值表示。如果别名不指向密钥条目，则keytool命令会假定您正在添加受信任的证书条目。在这种情况下，别名不应该已经存在于密钥库中。如果别名已经存在，则keytool命令会输出错误，因为该别名已经存在受信任的证书，并且不会导入证书。如果-alias指向密钥条目，则keytool命令会假定您正在导入证书回复。

-importpass

以下是-importpass命令的可用选项：

• {-alias alias}: 要处理的条目的别名

• [-keypass arg]: 密钥密码

• {-keyalg alg}: 密钥算法名称

• {-keysize size}: 密钥位大小

• {-keystore keystore}: 密钥库名称

• [-storepass arg]: 密钥库密码

• {-storetype type}: 密钥库类型

• {-providername name}: 提供程序名称

• {-addprovider name [-providerarg arg]}: 通过名称（如SunPKCS11）添加安全提供程序，带有可选的配置参数。

• {-providerclass class [-providerarg arg]}: 通过完全限定的类名添加安全提供程序，带有可选的配置参数。

• {-providerpath list}: 提供程序类路径

• {-v}: 详细输出

• {-protected}: 通过受保护的机制提供密码

使用-importpass命令导入密码短语，并将其存储在由-alias标识的新的KeyStore.SecretKeyEntry中。密码短语可以通过标准输入流提供；否则将提示用户输入。 -keypass选项提供一个密码来保护导入的密码短语。如果未提供密码，则将提示用户输入。如果在提示时按下Return键，则密钥密码将设置为与用于keystore的密码相同。 -keypass值必须至少包含六个字符。

从另一个密钥库导入内容的命令

-importkeystore

以下是-importkeystore命令的可用选项：

• -srckeystore keystore: 源密钥库名称

• {-destkeystore keystore}: 目标密钥库名称

• {-srcstoretype type}: 源密钥库类型

• {-deststoretype type}: 目标密钥库类型

• [-srcstorepass arg]: 源密钥库密码

• [-deststorepass arg]: 目标密钥库密码

• {-srcprotected}: 源密钥库密码受保护

• {-destprotected}: 目标密钥库密码受保护

• {-srcprovidername name}: 源密钥库提供者名称

• {-destprovidername name}: 目标密钥库提供者名称

• {-srcalias alias}: 源别名

• {-destalias alias}: 目标别名

• [-srckeypass arg]: 源密钥密码

• [-destkeypass arg]: 目标密钥密码

• {-noprompt}: 不提示

• {-addprovider name [-providerarg arg]: 通过名称（如SunPKCS11）添加安全提供者，可选配置参数。

• {-providerclass class [-providerarg arg]}: 通过完全限定类名添加安全提供者，可选配置参数

• {-providerpath list}: 提供者类路径

• {-v}: 详细输出

注意:

这是所有选项的第一行：

-srckeystore keystore -destkeystore keystore

使用-importkeystore命令将单个条目或所有条目从源密钥库导入到目标密钥库。

注意:

如果在使用keytool -importkeystore命令时未指定-destkeystore，则使用的默认密钥库是$HOME/.keystore。

当提供-srcalias选项时，命令将标识的单个条目导入到目标密钥库。如果未提供目标别名并且使用-destalias，则-srcalias将用作目标别名。如果源条目受密码保护，则使用-srckeypass来恢复该条目。如果未提供-srckeypass，则keytool命令尝试使用-srcstorepass来恢复该条目。如果未提供或不正确，则提示用户输入密码。目标条目受-destkeypass保护。如果未提供-destkeypass，则目标条目受源条目密码保护。例如，大多数第三方工具要求PKCS＃12密钥库中的storepass和keypass相同。为这些工具创建PKCS＃12密钥库时，始终指定与-deststorepass相同的-destkeypass。

如果未提供-srcalias选项，则将源密钥库中的所有条目导入目标密钥库。每个目标条目存储在源条目的别名下。如果源条目受密码保护，则使用-srcstorepass来恢复该条目。如果未提供或不正确，则提示用户输入密码。如果目标密钥库不支持源密钥库条目类型，或者在将条目存储到目标密钥库时发生错误，则提示用户要么跳过该条目并继续，要么退出。目标条目受源条目密码保护。

如果目标别名已存在于目标密钥库中，则提示用户要么覆盖该条目，要么使用不同的别名创建新条目。

如果提供了-noprompt选项，则不会提示用户输入新的目标别名。现有条目将使用目标别名名称进行覆盖。无法导入的条目将被跳过，并显示警告。

生成证书请求的命令

-certreq

以下是-certreq命令的可用选项：

• {-alias alias}: 要处理的条目的别名

• {-sigalg alg}: 签名算法名称

• {-file file}: 输出文件名

• [ -keypass arg]: 密钥密码

• {-keystore keystore}: 密钥库名称

• {-dname name}: 区别名称

• {-ext value}: X.509扩展

• [-storepass arg]: 密钥库密码

• {-storetype type}: 密钥库类型

• {-providername name}: 提供者名称

• {-addprovider name [-providerarg arg]}: 通过名称（如SunPKCS11）添加安全提供者，可选配置参数。

• {-providerclass class [-providerarg arg]}: 通过完全限定类名添加安全提供者，可选配置参数。

• {-providerpath list}: 提供者类路径

• {-v}: 详细输出

• {-protected}: 通过受保护机制提供密码

使用-certreq命令使用PKCS＃10格式生成证书签名请求（CSR）。

CSR旨在发送给CA。 CA对证书请求者进行身份验证（通常是离线），并返回证书或证书链以替换密钥库中现有证书链（最初是自签名证书）。

与alias关联的私钥用于创建PKCS＃10证书请求。要访问私钥，必须提供正确的密码。如果在命令行上未提供-keypass并且与用于保护密钥库完整性的密码不同，则会提示用户输入。如果提供了-dname，则将其用作CSR中的主题。否则，将使用与别名关联的X.500区别名称。

-sigalg值指定应用于签署CSR的算法。

CSR存储在-file file中。如果未指定文件，则CSR将输出到-stdout。

使用-importcert命令导入CA的响应。

导出数据的命令

-exportcert

以下是-exportcert命令的可用选项：

• {-rfc}: 以RFC样式输出

• {-alias alias}: 要处理的条目的别名

• {-file file}: 输出文件名

• {-keystore keystore}: 密钥库名称

• {-cacerts}: 访问cacerts密钥库

• [-storepass arg]: 密钥库密码

• {-storetype type}: 密钥库类型

• {-providername name}: 提供者名称

• {-addprovider name [-providerarg arg]}: 通过名称（如SunPKCS11）添加安全提供者，可选配置参数。

• {-providerclass class [-providerarg arg] }: 通过完全限定类名添加安全提供者，可选配置参数。

• {-providerpath list}: 提供者类路径

• {-v}: 详细输出

• {-protected}: 通过受保护机制提供密码

使用-exportcert命令从与-alias alias关联的密钥库中读取证书并将其存储在-file file中。如果未指定文件，则证书将输出到stdout。

默认情况下，证书以二进制编码输出。如果指定了-rfc选项，则输出为Internet RFC 1421证书编码标准定义的可打印编码格式。

如果-alias指的是受信任的证书，则输出该证书。否则，-alias指的是具有关联证书链的密钥条目。在这种情况下，返回链中的第一个证书。此证书验证由-alias指定的实体的公钥。

显示数据的命令

-list

以下是-list命令的可用选项：

• {-rfc}: 以RFC样式输出

• {-alias alias}: 要处理的条目的别名

• {-keystore keystore}: 密钥库名称

• {-cacerts}: 访问cacerts密钥库

• [-storepass arg]: 密钥库密码

• {-storetype type}: 密钥库类型

• {-providername name}: 提供者名称

• {-addprovider name [-providerarg arg]}: 通过名称（如SunPKCS11）添加安全提供者，可选配置参数。

• {-providerclass class [-providerarg arg] }: 通过完全限定类名添加安全提供者，可选配置参数。

• {-providerpath list}: 提供者类路径

• {-v}: 详细输出

• {-protected}: 通过受保护机制提供密码

使用-list命令将标识为-alias alias的密钥库条目的内容打印到stdout。如果未指定-alias alias，则打印整个密钥库的内容。

默认情况下，此命令打印证书的SHA-256指纹。如果指定了-v选项，则以人类可读格式打印证书，包括所有者、颁发者、序列号和任何扩展等附加信息。如果指定了-rfc选项，则使用Internet RFC 1421证书编码标准定义的可打印编码格式打印证书内容。

注意：

不能在同一命令中同时指定-v和-rfc。否则，将报告错误。

-printcert

以下是-printcert命令的可用选项：

• {-rfc}: 以RFC样式输出

• {-file cert_file}: 输入文件名

• {-sslserver server[:port]}:: 安全套接字层（SSL）服务器主机和端口

• {-jarfile JAR_file}: 签名的.jar文件

• {-keystore keystore}: 密钥库名称

• {-trustcacerts}: 信任cacerts的证书

• [-storepass arg]: 密钥库密码

• {-storetype type}: 密钥库类型

• {-providername name}: 提供者名称

• {-addprovider name [-providerarg arg]}: 通过名称（如SunPKCS11）添加安全提供者，可选配置参数。

• {-providerclass class [-providerarg arg]}: 通过完全限定类名添加安全提供者，可选配置参数。

• {-providerpath list}: 提供者类路径

• {-protected}: 通过受保护机制提供密码

• {-v}: 详细输出

使用-printcert命令从-file cert_file、位于-sslserver server[:port]的SSL服务器或由-jarfile JAR_file指定的签名JAR文件中读取并打印证书。它以人类可读格式打印其内容。当未指定端口时，假定使用标准的HTTPS端口443。

注意：

不能在同一命令中同时提供-sslserver和-file选项。否则，将报告错误。如果未指定任何选项，则从stdin读取证书。

当指定-rfc时，keytool命令将按照Internet RFC 1421证书编码标准定义的PEM模式打印证书。

如果从文件或stdin读取证书，则它可能是二进制编码或按照RFC 1421证书编码标准定义的可打印编码格式。

如果SSL服务器位于防火墙后，则可以在命令行上指定-J-Dhttps.proxyHost=proxyhost和-J-Dhttps.proxyPort=proxyport选项进行代理隧道。

注意：

此命令可以独立于密钥库使用。此命令不会检查证书签名算法的弱点，如果它是用户密钥库（由-keystore指定）或cacerts密钥库（如果指定了-trustcacerts）中的受信任证书。

-printcertreq

以下是-printcertreq命令的可用选项：

• {-file file}: 输入文件名

• {-v}: 详细输出

使用-printcertreq命令打印PKCS＃10格式证书请求的内容，该请求可以由keytool -certreq命令生成。该命令从文件中读取请求。如果没有文件，则从标准输入读取请求。

-printcrl

以下是-printcrl命令的可用选项：

• {-file crl}: 输入文件名

• {-keystore keystore}: 密钥库名称

• {-trustcacerts}: 信任cacerts的证书

• [-storepass arg]: 密钥库密码

• {-storetype type}: 密钥库类型

• {-providername name}: 提供者名称

• {-addprovider name [-providerarg arg]}: 通过名称（如SunPKCS11）添加安全提供者，可选配置参数。

• {-providerclass class [-providerarg arg]}: 通过完全限定类名添加安全提供者，可选配置参数。

• {-providerpath list}: 提供者类路径

• {-protected}: 通过受保护机制提供密码

• {-v}: 详细输出

使用-printcrl命令从-file crl读取证书吊销列表（CRL）。CRL是由颁发它们的CA吊销的数字证书列表。CA生成crl文件。

注意：

此命令可以独立于密钥库使用。此命令尝试使用用户密钥库（由-keystore指定）或cacerts密钥库（如果指定了-trustcacerts）中的证书验证CRL，并在无法验证时打印警告。

管理密钥库的命令

-storepasswd

以下是-storepasswd命令的可用选项：

• [-new arg]: 新密码

• {-keystore keystore}: 密钥库名称

• {-cacerts}: 访问cacerts密钥库

• [-storepass arg]: 密钥库密码

• {-storetype type}: 密钥库类型

• {-providername name}: 提供者名称

• {-addprovider name [-providerarg arg]}: 通过名称（如SunPKCS11）添加安全提供者，可选配置参数。

• {-providerclass class [-providerarg arg]}: 通过完全限定类名添加安全提供者，可选配置参数。

• {-providerpath list}: 提供者类路径

• {-v}: 详细输出

使用-storepasswd命令更改用于保护密钥库内容完整性的密码。新密码由-new arg设置，必须至少包含六个字符。

-keypasswd

以下是-keypasswd命令的可用选项：

• {-alias alias}: 要处理的条目的别名

• [-keypass old_keypass]: 密钥密码

• [-new new_keypass]: 新密码

• {-keystore keystore}: 密钥库名称

• {-storepass arg}: 密钥库密码

• {-storetype type}: 密钥库类型

• {-providername name}: 提供者名称

• {-addprovider name [-providerarg arg]}: 通过名称（如SunPKCS11）添加安全提供者，可选配置参数。

• {-providerclass class [-providerarg arg]}: 通过完全限定类名添加安全提供者，可选配置参数。

• {-providerpath list}: 提供者类路径

• {-v}: 详细输出

使用-keypasswd命令将用于保护由-alias标识的私钥/秘密密钥的密码从-keypass old_keypass更改为-new new_keypass。密码值必须至少包含六个字符。

如果在命令行中未提供-keypass选项，并且-keypass密码与密钥库密码（-storepass arg）不同，则会提示用户输入。

如果在命令行中未提供-new选项，则会提示用户输入。

-delete

以下是-delete命令的可用选项：

• [-alias alias]: 要处理的条目的别名

• {-keystore keystore}: 密钥库名称

• {-cacerts}: 访问cacerts密钥库

• [-storepass arg]: 密钥库密码

• {-storetype type}: 密钥库类型

• {-providername name}: 提供者名称

• {-addprovider name [-providerarg arg]}: 通过名称（如SunPKCS11）添加安全提供者，可选配置参数。

• {-providerclass class [-providerarg arg]}: 通过完全限定类名添加安全提供者，可选配置参数。

• {-providerpath list}: 提供者类路径

• {-v}: 详细输出

• {-protected}: 通过受保护机制提供密码

使用-delete命令从密钥库中删除-alias alias条目。当未在命令行中提供时，会提示用户输入alias。

-changealias

以下是-changealias命令的可用选项：

• {-alias alias}: 要处理的条目的别名

• [-destalias alias]: 目标别名

• [-keypass arg]: 密钥密码

• {-keystore keystore}: 密钥库名称

• {-cacerts}: 访问cacerts密钥库

• [-storepass arg]: 密钥库密码

• {-storetype type}: 密钥库类型

• {-providername name}: 提供者名称

• {-addprovider name [-providerarg arg]}: 通过名称（如SunPKCS11）添加安全提供者，可选配置参数。

• {-providerclass class [-providerarg arg]}: 通过完全限定类名添加安全提供者，可选配置参数。

• {-providerpath list}: 提供者类路径

• {-v}: 详细输出

• {-protected}: 通过受保护机制提供密码

使用-changealias命令将现有密钥库条目从-alias alias移动到新的-destalias alias。如果未提供目标别名，则命令会提示您输入一个。如果原始条目受条目密码保护，则可以使用-keypass选项提供密码。如果未提供密钥密码，则首先尝试-storepass（如果提供）。如果尝试失败，则提示用户输入密码。

用于显示安全相关信息的命令

-showinfo

以下是-showinfo命令的可用选项：

• {-tls}: 显示TLS配置信息

• {-v}: 详细输出

使用-showinfo命令显示各种安全相关信息。-tls选项显示TLS配置，如启用的协议列表和密码套件。

用于显示程序版本的命令

您可以使用-version打印keytool的程序版本。

用于显示帮助信息的命令

您可以使用--help显示keytool命令列表或显示关于特定keytool命令的帮助信息。

• 要显示keytool命令列表，请输入：

  keytool --help

• 要显示关于特定keytool命令的帮助信息，请输入：

  keytool -<command> --help

常见命令选项

除了--help之外，-v选项可以出现在所有命令中。当出现-v选项时，表示详细模式，输出提供更多信息。

-Joption参数可以出现在任何命令中。使用-Joption时，指定的option字符串直接传递给Java解释器。此选项不包含任何空格。它用于调整执行环境或内存使用。要获取可能的解释器选项列表，请在命令行中输入java -h或java -X。

这些选项可以出现在所有操作密钥库的命令中：

-storetype 存储类型

此限定符指定要实例化的密钥库的类型。

-keystore 密钥库

密钥库位置。

如果使用JKS storetype 并且尚未存在密钥库文件，则某些 keytool 命令可能会导致创建新的密钥库文件。例如，如果调用 keytool -genkeypair 并且未指定 -keystore 选项，则如果用户的主目录中尚不存在名为 .keystore 的默认密钥库文件，则会创建一个。同样，如果指定了 -keystore ks_file 选项但 ks_file 不存在，则会创建它。有关JKS storetype 的更多信息，请参阅 KeyStore Implementation 部分中的 KeyStore aliases。

请注意，从 -keystore 选项的输入流传递给 KeyStore.load 方法。如果将URL指定为 NONE，则将传递一个空流给 KeyStore.load 方法。如果密钥库不基于文件，则应指定 NONE。例如，当密钥库驻留在硬件令牌设备上时。

-cacerts cacerts

操作 cacerts 密钥库。此选项等效于 -keystore path_to_cacerts -storetype type_of_cacerts。如果与 -cacerts 选项一起使用 -keystore 或 -storetype 选项，则会报告错误。

-storepass [:env | :file ] 参数

env 或 file，则密码的值为 参数，该值必须至少包含六个字符。否则，密码将按以下方式检索：

• env：从名为 参数 的环境变量中检索密码。

• file：从名为 参数 的文件中检索密码。

注意：所有需要密码的其他选项，例如 -keypass、-srckeypass、-destkeypass、-srcstorepass 和 -deststorepass，都接受 env 和 file 修饰符。请记住使用冒号（:）分隔密码选项和修饰符。

-storepass 选项，则会提示用户输入密码。

-providername 名称

用于在安全属性文件中列出时标识加密服务提供程序的名称。

-addprovider 名称

用于按名称（例如SunPKCS11）添加安全提供程序。

-providerclass 类

用于在安全属性文件中未列出服务提供程序时指定加密服务提供程序的主类文件的名称。

-providerpath 列表

用于指定提供程序类路径。

-providerarg 参数

与 -addprovider 或 -providerclass 选项一起使用，表示 类 名的构造函数的可选字符串输入参数。

-protected=true|false

当必须通过受保护的身份验证路径（例如专用PIN阅读器）指定密码时，请将此值指定为 true。由于 -importkeystore 命令涉及两个密钥库，因此为源密钥库和目标密钥库分别提供了以下两个选项，-srcprotected 和 -destprotected。

-ext {名称{:critical} {=值}}

表示X.509证书扩展。此选项可用于在 -genkeypair 和 -gencert 中将扩展嵌入生成的证书中，或者在 -certreq 中显示请求的证书中请求的扩展。该选项可以多次出现。 名称 参数可以是受支持的扩展名称（请参见支持的命名扩展）或任意OID编号。提供 值 参数时，表示扩展的参数。当省略 值 时，扩展的默认值或扩展本身不需要参数。提供 :critical 修饰符时，表示扩展的 isCritical 属性为 true；否则为 false。您可以使用 :c 代替 :critical。

-conf 文件

指定预配置的选项文件。

预配置的选项文件

预配置的选项文件是一个Java属性文件，可以使用 -conf 选项指定。每个属性代表一个使用 "keytool.command_name" 作为属性名称的keytool命令的默认选项。名为 "keytool.all" 的特殊属性表示应用于所有命令的默认选项。属性值可以包括 ${prop}，它将扩展为与之关联的系统属性。如果选项值包含内部的空格，则应该用引号（"或'）括起来。所有属性名称必须小写。

    # 一个小型的预配置选项文件
    keytool.all = -keystore ${user.home}/ks
    keytool.list = -v
    keytool.genkeypair = -keyalg rsa

-alias "mykey"

-keysize
    2048（使用 -genkeypair 且 -keyalg 为 "DSA" 时）
    3072（使用 -genkeypair 且 -keyalg 为 "RSA"、"RSASSA-PSS" 或 "DH" 时）
    384（使用 -genkeypair 且 -keyalg 为 "EC" 时）
    255（使用 -genkeypair 且 -keyalg 为 "EdDSA" 或 "XDH" 时）
    56（使用 -genseckey 且 -keyalg 为 "DES" 时）
    168（使用 -genseckey 且 -keyalg 为 "DESede" 时）

-validity 90

-keystore <用户主目录中名为 .keystore 的文件>

-destkeystore <用户主目录中名为 .keystore 的文件>

-storetype <安全属性文件中的 "keystore.type" 属性值，由 java.security.KeyStore 的静态 getDefaultType 方法返回>

-file
    stdin（读取时）
    stdout（写入时）

-protected false

keytool -genkeypair -keystore root.jks -alias root -ext bc:c -keyalg rsa
keytool -genkeypair -keystore ca.jks -alias ca -ext bc:c -keyalg rsa
keytool -genkeypair -keystore server.jks -alias server -keyalg rsa

keytool -keystore root.jks -alias root -exportcert -rfc > root.pem

keytool -storepass password -keystore ca.jks -certreq -alias ca |
    keytool -storepass password -keystore root.jks
    -gencert -alias root -ext BC=0 -rfc > ca.pem
keytool -keystore ca.jks -importcert -alias ca -file ca.pem

keytool -storepass password -keystore server.jks -certreq -alias server |
    keytool -storepass password -keystore ca.jks -gencert -alias ca
    -ext ku:c=dig,kE -rfc > server.pem
cat root.pem ca.pem server.pem |
    keytool -keystore server.jks -importcert -alias server

  keytool -printcert -file \tmp\cert
    拥有者: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll
    颁发者: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll
    序列号: 59092b34
    有效期: 从 Thu Jun 24 18:01:13 PDT 2016 到 Wed Jun 23 17:01:13 PST 2016
    证书指纹:

                   SHA-1: 20:B6:17:FA:EF:E5:55:8A:D0:71:1F:E8:D6:9D:C0:37:13:0E:5E:FE
                 SHA-256: 90:7B:70:0A:EA:DC:16:79:92:99:41:FF:8A:FE:EB:90:
                          17:75:E0:90:B2:24:4D:3A:2A:16:A6:E4:11:0F:67:A4

  keytool -printcert -file /tmp/cert
    拥有者: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll
    颁发者: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll
    序列号: 59092b34
    有效期: 从 Thu Jun 24 18:01:13 PDT 2016 到 Wed Jun 23 17:01:13 PST 2016
    证书指纹:

                   SHA-1: 20:B6:17:FA:EF:E5:55:8A:D0:71:1F:E8:D6:9D:C0:37:13:0E:5E:FE
                   SHA-256: 90:7B:70:0A:EA:DC:16:79:92:99:41:FF:8A:FE:EB:90:
                           17:75:E0:90:B2:24:4D:3A:2A:16:A6:E4:11:0F:67:A4