Java Keytool is een programma om certificaten en public en private keys te beheren. Java Keytool slaat keys en certificaten op in een zogenaamde keystore file. Een Keytool keystore bevat de private key en bijbehorende certficaten.

Elk certificaat in een Java keystore heeft een eigen unieke alias naam. Bij het aanmaken van een Java keystore wordt eerst een .jks file aangemaakt, hierin staat eerst alleen de private key, als u later het certificaat ontvangt, importeert u het certificaat in de keystore.

Met Java keytool kunt u ook een aantal andere functies uitoefenen, zoals de details van een certificaat opvragen of een certificaat exporteren.

Externe link

• Officiële documentatie van Sun over Keytool

Algemene Java Keytool commando's

Onderstaande commando's zijn voor het genereren van een nieuwe Java Keytool keystore, het aanmaken van een CSR en het importeren van certificaten. Zijn er meerdere certificaten (root en/of intermediate) dan dienen deze eerst geimporteerd te worden, dus voor het CA certificaat.

• Genereer een Java keystore en een key pair

  keytool -genkey -alias mydomain -keyalg RSA -keystore keystore.jks

• Genereer een CSR  voor een bestaande Java keystore 

  keytool -certreq -alias "mydomain" -keystore keystore.jks -file mydomain.csr

• Importeer een root of intermediate certificaat in een bestaande Java keystore

  keytool -import -trustcacerts -alias root -file Thawte.crt -keystore keystore.jks

• Importeer een getekend primair CA certificaat in een bestaande Java keystore

  keytool -import -trustcacerts -alias mydomain -file mydomain.crt -keystore keystore.jks

• Genereer een keystore en een self-signed certificaat

  keytool -genkey -keyalg RSA -alias "selfsigned" -keystore keystore.jks -storepass "password" -validity 360

Java Keytool commando's ter controle van de keystore of certificaat

Gebruik onderstaande opdrachten om de informatie in een keystore of certificaat te controleren.

• Controleer een stand-alone certificaat
  
  keytool -printcert -v -file mydomain.crt

• Controleer welke certificaten er in een Java keystore staan

  keytool -list -v -keystore keystore.jks

• Controleer een bepaalde keystore aan de hand van een alias 

  keytool -list -v -keystore keystore.jks -alias mydomain

Overige Java Keytool commando's

• Verwijder een certificaat uit een Java Keytool keystore

  keytool -delete -alias "mydomain" -keystore keystore.jks

• Wijzig een Java keystore password

  keytool -storepasswd -new new_storepass -keystore keystore.jks

• Exporteer een certificaat uit een keystore

  keytool -export -alias mydomain -file mydomain.crt

• Toon alle Trusted CA Certificaten

  keytool -list -v -keystore $JAVA_HOME/jre/lib/security/cacerts

• Importeer een Nieuw CA certificaat naar de Trusted Certificaten in een keystore 

  keytool -import -trustcacerts -file /path/to/ca/ca.pem -alias CA_ALIAS -keystore $JAVA_HOME/jre/lib/security/cacerts