logo标签列表

如何使用keytool打印证书的公钥?

javacertificatekeytool
43

在keytool中是否有一种方法可以打印证书的公钥?我尝试了:

keytool -printcert -file client.crt

但它只提供以下信息:

Owner: CN=client, OU=as, O=as, L=as, ST=as, C=as
Issuer: EMAILADDRESS=as, CN=ca, OU=as, O=as, L=as, ST=as, C=as
Serial number: 3
Valid from: Tue Apr 10 12:18:47 GMT+05:30 2012 until: Wed Apr 10 12:18:47 GMT+05
:30 2013
Certificate fingerprints:
         MD5:  26:C0:29:E9:8C:AB:C3:9E:95:38:74:8A:87:D3:86:8D
         SHA1: 5C:5A:BA:47:44:83:7E:CB:48:BE:DD:E5:39:51:24:42:C6:C5:60:8B
         SHA256: DA:26:B8:C8:F4:04:3E:62:F3:7F:3B:EC:1D:9F:85:66:28:00:45:55:66:
15:FF:BB:37:77:97:59:F0:EC:0B:B6
         Signature algorithm name: SHA1withRSA
         Version: 1

这里没有公钥。

1
有一种方法可以使用带有-list选项的keytool来完成此操作,但是被接受的答案建议使用openssl。请参考下面Vlad Sankin的答案。 - Nish
5个回答
72

你可以通过以下方式完成:

keytool -list -rfc -keystore mykeystore.jks -alias certificate_alias -storepass password

示例运行:

PS c:\sample> keytool -list -rfc -keystore mykeystore.jks -alias cert_alias -storepass password
Alias name: cert_alias
Creation date: Apr 25, 2014
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
2
假设 OpenSSL 不可用,并回答实际问题(如何使用 keytool 打印公钥部分)。 - Vlad Sankin
14
问题是如何打印证书的公钥。此输出是整个证书的PEM编码表示形式。公钥输出将以“-----BEGIN PUBLIC KEY-----”开头。 - Peter Long
10
两年后我现在意识到@VladSankin只是在描述如何获取证书作为使用openssl从中提取公钥的前置条件。因此,在接受的答案基础上,你可以执行类似于keytool -list -rfc -keystore mykeystore.jks -alias cert_alias -storepass password | openssl x509 -inform pem -pubkey -noout | openssl rsa -pubin -text -noout的操作。 - Peter Long
1
为什么示例中说“PrivateKeyEntry”?这是私钥吗? - Kirill G.
1
如果您提到keytool的-rfc参数的文档和目的,那将是非常棒的。 - rogue lad
显示剩余2条评论
37
你可以使用openssl完成这个任务。如果证书是DER编码(二进制格式),则使用以下命令:
openssl x509 -inform der -in client.crt -pubkey -noout

如果需要 PEM 格式编码,请使用 -inform pem 选项(或者根本不使用 -inform 选项)。

要查看公钥的详细信息,请使用:

openssl x509 -inform der -in client.crt -pubkey -noout | openssl rsa -pubin -text -noout
1
谢谢您的回答。我能够看到公钥。但是有没有办法在keytool中完成这个操作? - Ashwin
有一种方法可以使用带有“-list”选项的keeytool进行打印,请参考@Vlad Sankin的答案。 - Nish
13

您可以将证书打印成PEM格式,然后使用openssl从PEM格式中打印公钥。

  1. 在-printcert命令中添加-rfc选项

    keytool -printcert -rfc -file client.crt

  2. 将如下输出保存到一个名为client.pem的文件中

    -----BEGIN CERTIFICATE----- MIIB4zCCAUygAwIBAgIIRzI14w7rL20wDQYJKoZIhvcNAQENBQAwMzELMAkGA1UEBhMCVVMxDTAL

    ......

    -----END CERTIFICATE-----

  3. 然后使用openssl

    openssl x509 -inform pem -text -in client.pem

这样就得到了公钥。

11
不需要中间文件:keytool -list -rfc --keystore ./path_to_keystore.jks | openssl x509 -inform pem -pubkey - Jonas Andersson
8

Keytool list rfc仅会打印整个证书的base64编码版本,并不包括公钥。Keytool不支持打印证书的公钥。我们可以使用openssl来实现这一目的。

1
keytool -export -alias myalias -keystore mystore.jks  | openssl x509 -inform der -pubkey -noout
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接