keytool是java提供的管理密鑰和簽名的工具。數(shù)據(jù)儲存在keystore文件中,即jks文件 。
1.創(chuàng)建rsa密鑰對(公鑰和私鑰)并儲存在keystore文件中:
keytool -genkeypair -keyalg RSA -keystore keystore.jks
2.從keystore文件中導(dǎo)出使用x509標(biāo)準(zhǔn)驗證的數(shù)字證書,包含公鑰。
keytool -exportcert -file cert.cer -keystore keystore.jks
keytool沒有提供從keystore文件導(dǎo)出私鑰的工具,需要編程實現(xiàn)此功能。
從keystore文件導(dǎo)出的證書、密鑰都是DER格式,可以使用openssl工具轉(zhuǎn)換成PEM格式。
openssl是一套強大的工具集,包含各種加解密算法,信息摘要及簽名算法,密鑰和證書管理等。
openssl使用的默認(rèn)數(shù)據(jù)格式是PEM格式,也支持DER格式,可以進行互相轉(zhuǎn)換。
1.genrsa命令用于創(chuàng)建私鑰
openssl genrsa -out private.key
若需要對私鑰加密,可以使用 -des -des3等參數(shù)。
2.rsa命令用于對密鑰管理,格式轉(zhuǎn)換
使用私鑰創(chuàng)建對應(yīng)的公鑰
openssl rsa -in private.key -out public.key -pubout
將DER格式公鑰轉(zhuǎn)換為PEM格式
openssl rsa -in public.key.der -inform der -pubin -outform pem -out public.key
3.x509命令用于管理x509標(biāo)準(zhǔn)的證書
將DER格式證書轉(zhuǎn)換成PEM格式
openssl x509 -in cert.cer -inform der -outform PEM -out cert.crt
從證書中導(dǎo)出公鑰
openssl x509 -in cert.crt -pubkey -out public.key
4.pkcs8,pkcs12命令用于管理私鑰的pkcs編解碼
將密鑰使用pkcs8加密
openssl pkcs8 -in private.key -nocrypt -topk8 -out private.p8
將pkcs8密鑰解密
openssl pkcs8 -in decrypted.p8 -nocrypt
md5rsa代碼示例
function rsa_md5_public_verify($data,$signature,$pubkey)
{
$key=openssl_get_publickey($pubkey);
if(!$key) return false ;
$crypted_sig = base64_decode(pack("H*",$signature) );
if(!openssl_public_decrypt($crypted_sig,$original_sig,$key)) return false ;
//md5 appending ?
if( substr(bin2hex($original_sig),-32) != md5($data) ) return false ;
return true ;
}
function rsa_md5_public_sign($data,&$signature,$pubkey)
{
$key=openssl_get_publickey($pubkey);
if(!$key) return false ;
$original_sig = pack("H*",md5($data));
if(!openssl_public_encrypt($original_sig,$crypted_sig,$key)) return false ;
$signature = bin2hex(base64_encode($crypted_sig)) ;
return true ;
}
function rsa_md5_private_verify($data,$signature,$prikey)
{
$key=openssl_get_privatekey($prikey);
if(!$key) return false ;
//var_dump(pack("H*",$crypted));
$crypted_sig = base64_decode(pack("H*",$signature) );
if(!openssl_private_decrypt($crypted_sig,$original_sig,$key)) return false ;
//md5 appending ?
if( substr(bin2hex($original_sig),-32) != md5($data) ) return false ;
return true ;
}
function rsa_md5_private_sign($data,&$signature,$prikey)
{
$key=openssl_get_privatekey($prikey);
if(!$key) return false ;
$original_sig = pack("H*",md5($data));
if(!openssl_private_encrypt($original_sig,$crypted_sig,$key)) return false ;
$signature = bin2hex(base64_encode($crypted_sig)) ;
return true ;
}
var_dump(rsa_md5_private_sign($original,$sig,$prikey) );
var_dump($sig) ;
var_dump(rsa_md5_public_verify($original,$sig,$pubkey) );