openssl和keytool对rsa密钥的管理机制及用法

1.创建rsa密钥对(公钥和私钥)并储存在keystore文件中:
keytool -genkeypair -keyalg RSA -keystore keystore.jks

2.从keystore文件中导出使用x509标准验证的数字证书，包含公钥。
keytool -exportcert -file cert.cer -keystore keystore.jks

keytool没有提供从keystore文件导出私钥的工具，需要编程实现此功能。

从keystore文件导出的证书、密钥都是DER格式，可以使用openssl工具转换成PEM格式。

openssl是一套强大的工具集，包含各种加解密算法，信息摘要及签名算法，密钥和证书管理等。

openssl使用的默认数据格式是PEM格式，也支持DER格式，可以进行互相转换。

1.genrsa命令用于创建私钥 
openssl genrsa -out private.key

若需要对私钥加密，可以使用 -des -des3等参数。

2.rsa命令用于对密钥管理,格式转换

使用私钥创建对应的公钥
openssl rsa -in private.key -out public.key -pubout

将DER格式公钥转换为PEM格式
openssl rsa -in public.key.der -inform der -pubin -outform pem -out public.key

3.x509命令用于管理x509标准的证书

将DER格式证书转换成PEM格式
openssl x509 -in cert.cer -inform der -outform PEM -out cert.crt

从证书中导出公钥
openssl x509 -in cert.crt -pubkey -out public.key

4.pkcs8，pkcs12命令用于管理私钥的pkcs编解码

将密钥使用pkcs8加密
openssl pkcs8 -in private.key  -nocrypt -topk8 -out private.p8

将pkcs8密钥解密
openssl pkcs8 -in decrypted.p8 -nocrypt