Keytool 工具使用

keytool 是jdk提供的秘钥和证书管理工具，可以查看签名信息。管理加密密钥、X.509 证书链和可信证书的密钥库（数据库）

基础知识：

一个签名文件包含证书和密钥，使用的是RSA非对称加密方式，证书其实就是公钥，公钥的生成需要私钥。
密钥库类型有（PKCS12、jks等），（-v 和 -rfc 不能一起用，这两个是区分输出内容的格式）
官方地址：https://docs.oracle.com/javase/8/docs/technotes/tools/windows/keytool.html

生成密钥对(生成秘钥和证书,也就是签名文件)

作为安卓开发者用keytool 最多的就是生成签名文件了。
生成密钥对(生成秘钥和证书,也就是签名文件)
-genkeypair

选项:
 -alias <alias>                  要处理的条目的别名
 -keyalg <keyalg>                密钥算法名称（RSA）
 -keysize <keysize>              密钥位大小（字节）
 -groupname <name>               Group name. For example, an Elliptic Curve name.
 -sigalg <sigalg>                签名算法名称（RSA\DSA）
 -storetype <storetype>          密钥库类型（PKCS12、jks，默认jks）
 -destalias <destalias>          目标别名（和上面的别名一样即可）
 -dname <dname>                  唯一判别名（如果没配置，输入命令时会提示输入相关信息，随便填就好了）
 -startdate <startdate>          证书有效期开始日期/时间(使用默认的即可)
 -validity <valDays>             有效天数
 -keypass <arg>                  密钥口令（别名密码）
 -keystore <keystore>            密钥库名称
 -storepass <arg>                密钥库口令
 -v                              详细输出

生成秘钥对（签名文件或者说RSA非对称加密方式）
-dname “CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)”;
实例：

会有下面提示，可以忽略,也可以在上面的命令中指定秘钥库类型-storetype：
JKS 密钥库使用专用格式。建议使用 “keytool -importkeystore -srckeystore ./signtest4.keystore -destkeystore ./signtest4.keystore -deststoretype pkcs12” 迁移到行业标准格式 PKCS12。
实例：

生成密钥（对称加密方式）
-genseckey

选项:
 -alias <alias>                  要处理的条目的别名
 -keypass <arg>                  密钥口令
 -keyalg <keyalg>                密钥算法名称（不能是非对称算法RSA，可以是AES\DES）
 -keysize <keysize>              密钥位大小(一定等于128 192还是256)
 -keystore <keystore>            密钥库名称
 -storepass <arg>                密钥库口令
 -storetype <storetype>          密钥库类型（PKCS12、jks）
 -v                              详细输出

生成秘钥（对称加密）
实例：

问题:
java.security.KeyStoreException: Cannot store non-PrivateKeys
需要指定密钥类型

列出密钥库中的条目(秘钥详细信息)
-list
选项(只列出实用的,其他信息都会在信息打印中默认显示)：
-rfc 以 RFC 样式输出
-alias 要处理的条目的别名
-keystore 密钥库名称
-storepass 密钥库口令
-v 详细输出

通过签名文件（.jks/.keystore）可以查看证书串内容

通过签名文件（.jks/.keystore）可以查看签名的sha1、sha256、MD5（jdk版本较高的情况，会无法显示md5值，1.8.0_219 以上不行，因为jdk在高版本去掉了Disable MD5 or MD2 signed jars）

更改密钥库的存储口令
-storepasswd
选项:
-new 新口令
-keystore 密钥库名称
-storepass 密钥库口令
-v 详细输出

更改密钥密码

更改别名的密钥口令（更改别名alias密码）
-keypasswd
选项:
-alias 要处理的条目的别名
-keypass 密钥口令(别名alias原密码)
-new 新口令
-keystore 密钥库名称
-storepass 密钥库口令
-v 详细输出

更改别名密码

更改别名的名称（参考上面的命令）
-changealias
删除别名（参考上面的命令）
-delete

生成证书请求（少用）
-certreq
选项:
-alias 要处理的条目的别名（别名）
-sigalg 签名算法名称(SHA256withRSA)
-file 输出文件名
-keypass 密钥口令(别名密码)
-keystore 密钥库名称
-storepass 密钥库口令（签名文件密码）
-storetype 密钥库类型（PKCS12、jks）
-v 详细输出

根据签名文件生成证书请求（需要使用RSA生成的秘钥来导出）

打印证书请求的内容
-printcertreq
选项:
-rfc 以 RFC 样式输出
-file 输入文件名
-v 详细输出

打印证书请求内容

打印证书请求内容（输出结果和上面一样）

根据证书请求来生成证书
-gencert

选项:
 -rfc                            以 RFC 样式输出
 -infile <filename>              输入文件名
 -outfile <filename>             输出文件名
 -alias <alias>                  要处理的条目的别名
 -sigalg <sigalg>                签名算法名称
 -dname <dname>                  唯一判别名
 -startdate <startdate>          证书有效期开始日期/时间
 -ext <value>                    X.509 扩展
 -validity <valDays>             有效天数
 -keypass <arg>                  密钥口令（别名的密码）
 -keystore <keystore>            密钥库名称
 -storepass <arg>                密钥库口令(签名文件的密码)
 -v                              详细输出

根据证书请求生成证书(时间格式不清楚，所以不加开始时间的配置，默认当前时间)

根据签名文件导出证书
-exportcert
选项:
-rfc 以 RFC 样式输出
-alias 要处理的条目的别名
-file 输出文件名
-keystore 密钥库名称
-storepass 密钥库口令
-v 详细输出

根据签名文件导出证书文件（和根据-list 的-rfc直接打印签名信息看到）结果是一样的

打印证书内容
-printcert
选项
-rfc 以 RFC 样式输出
-file 输入文件名
-sslserver <server[:port]> SSL 服务器主机和端口
-jarfile 已签名的 jar 文件
-v 详细输出

通过证书文件（.RSA）查看证书

通过证书文件（.RSA）可以查看签名的sha1、sha256、MD5（jdk版本较高的情况，会无法显示md5值）