信任商店vs关键商店 – 使用keytool创build

这个术语确实有点混乱，但是为了两个不同的目的， javax.net.ssl.keyStore和javax.net.ssl.trustStore都用来指定要使用哪个keystore。 密钥库有各种格式，甚至不一定是文件（见这个问题 ），而keytool只是一个工具来执行各种操作（导入/导出/列表/ …）。

javax.net.ssl.keyStore和javax.net.ssl.trustStore参数是用于分别构buildKeyManager和TrustManager的默认参数，然后用于构build一个SSLContext ，该SSLContext本质上包含要在以下情况下使用的SSL / TLS设置通过SSLSocketFactory或SSLEngine进行SSL / TLS连接。 这些系统属性就是默认值来自的地方，然后由SSLContext.getDefault()使用，例如SSLSocketFactory.getDefault()使用它本身。 （所有这些都可以通过API在很多地方自定义，如果你不想使用默认值和特定的SSLContext s给定的目的。）

KeyManager和TrustManager之间的区别（以及javax.net.ssl.keyStore和javax.net.ssl.trustStore之间的区别）如下（引用JSSE参考指南 ）：

TrustManager：确定是否应该信任远程authentication凭证（以及连接）。

KeyManager：确定发送给远程主机的authentication凭证。

（其他参数可用，其默认值在JSSE参考指南中有描述。请注意，尽pipe信任库有一个默认值，但密钥库没有一个。

本质上， javax.net.ssl.keyStore的密钥库旨在包含您的私钥和证书，而javax.net.ssl.trustStore旨在包含您愿意信任的远程方提供的CA证书证书。 在某些情况下，它们可以是同一个商店，但是使用不同的商店通常是更好的做法（特别是当它们是基于文件的时候）。

密钥库和信任库文件没有区别。 两者都是专有的JKS文件格式的文件。 区别在于：据我所知，Java只会使用javax.net.ssl.trustStore引用的存储来查找在创buildSSL连接时要信任的证书。 键和javax.net.ssl.keyStore 。 但是从理论上讲，使用同一个文件进行信任和密钥库是很好的。

密钥库被服务器用来存储私钥，信任库被第三方客户端用来存储服务器提供的公钥来访问。 我已经在我的生产应用程序中这样做了。 以下是为SSL通信生成Java证书的步骤：

1. 在Windows中使用keygen命令生成证书：

keytool -genkey -keystore server.keystore -alias mycert-20161109 -keyalg RSA -keysize 2048 -validity 3950

2. 自我authentication证书：

keytool -selfcert -alias mycert-20161109 -keystore server.keystore -validity 3950

3. 将证书导出到文件夹：

keytool -export -alias mycert-20161109 -keystore server.keystore -rfc -file mycert-20161109.cer

4. 将证书导入到客户端信任库：

keytool -importcert -alias mycert-20161218 -file C：\ certs \ mycert-20161218.cer -keystore .truststore