关于 keytool 证书导入的细节答案

【问题标题】：Specifics about keytool import of certificate(s)关于 keytool 证书导入的细节
【发布时间】：2011-03-18 18:05:46
【问题描述】：

我有一个远程数据库服务器的 server.crt、root.crt 和 server.key 文件要添加到我们的 CF8 Enterprise 密钥库中。我学会了如何通过 keytool 轻松导入证书。我的问题特别关注导入什么以及如何导入：

【问题讨论】：

【解决方案1】：

root.crt 进入 castore，因为这是服务器的信任库，而 root.cer 可能包含 server.crt 证书链基础的证书。通过这样做，您表示您信任它来识别要信任的其他证书。

server.crt 是包含服务器公钥的证书，server.key 是服务器对应的私钥，它们存放在服务器的密钥库中。

.crt 和 .cer 通常是等价的（只是表示它是一个证书，通常是 X.509）。通常这将是 DER 格式，但也可能是 Base64 等其他格式。

【讨论】：

抱歉多次回复；不知道 html 的限制。密钥库和信任库之间是否有独特的区别？我将 root.crt 导入到 cacerts 文件中，即密钥库。信任库在哪里以及如何导入？
您的第一个链接包含 SSLService 的配置，其中包含密钥库和信任库位置的属性。在物理上，密钥库和信任库之间没有实际区别；它们只是为不同的目的而保留的。它们可以是同一个文件。服务器倾向于将它们分开，因为它们可以拥有不同的凭据集来访问它们。在这样的设置中，信任库包含您信任的人的证书，而密钥库包含您的私钥和匹配的公共证书。
见download.oracle.com/javase/1.4.2/docs/guide/security/jsse/…。
由于我只在客户端上工作，我只需要将 root.crt 导入到信任库中？ keytool -import -trustcacerts -alias aliasname -keystore {jrun root}\lib\security\truststore -file C:\root.crt
是的，然后客户端将信任根证书和服务器证书。