.'" t

."

." Copyright 2000-2006 Sun Microsystems, Inc.  All Rights Reserved.

." DO NOT ALTER OR REMOVE COPYRIGHT NOTICES OR THIS FILE HEADER.

."

." This code is free software; you can redistribute it and/or modify it

." under the terms of the GNU General Public License version 2 only, as

." published by the Free Software Foundation.

."

." This code is distributed in the hope that it will be useful, but WITHOUT

." ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or

." FITNESS FOR A PARTICULAR PURPOSE.  See the GNU General Public License

." version 2 for more details (a copy is included in the LICENSE file that

." accompanied this code).

."

." You should have received a copy of the GNU General Public License version

." 2 along with this work; if not, write to the Free Software Foundation,

." Inc., 51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA.

."

." Please contact Sun Microsystems, Inc., 4150 Network Circle, Santa Clara,

." CA 95054 USA or visit www.sun.com if you need additional information or

." have any questions.

."

." `

.TH keytool 1 "2006 年 9 月 4 日" "Java SE 6" "ユーザーコマンド"

." Generated by html2man

.LP

.SH 名前

keytool \- 鍵と証明書の管理ツール

.LP

.RS 3

.LP

暗号化鍵、X.509 証明連鎖、および信頼できる証明書を含むキーストア (データベース) を管理します。

.RE

.SH "形式"

.LP

.LP

.nf

\f3

.fl

\fP\f3keytool\fP [ commands ]

.fl

.fi

.LP

.LP

Java SE 6 で keytool のコマンドインタフェースが変更されました。詳細については「変更点」の節を参照してください。以前に定義されたコマンドも引き続きサポートされています。

.LP

.SH "説明"

.LP

.LP

\f3keytool\fP は、鍵と証明書を管理するためのユーティリティです。\f3keytool\fP を使うと、自分の公開鍵と非公開鍵のペア、および関連する証明書を管理し、デジタル署名を使った自己認証 (ほかのユーザまたはサービスに対して自分自身を認証すること) や、データの完全性と証明書に関するサービスを利用することができます。\f3keytool\fP では、通信相手の公開鍵を (証明書の形で) キャッシュすることもできます。

.LP

「証明書」とは、あるエンティティ (人物、会社など) からのデジタル署名付きの文書のことです。証明書には、ほかのあるエンティティの公開鍵 (およびその他の情報) が特別な値を持っていることが書かれています(「証明書」を参照)。データにデジタル署名が付いている場合は、デジタル署名を検証することで、データの完全性およびデータが本物であることをチェックできます。データの「完全性」とは、データが変更されたり、改変されたりしていないことを意味します。また、データが「本物である」とは、そのデータが、データを作成して署名したと称する人物から実際に渡されたデータであることを意味します。

.LP

.LP

また、\f3keytool\fP を使えば、DES などの対称暗号化/復号化で使用される秘密鍵を管理することもできます。

.LP

.LP

\f3keytool\fP は、鍵と証明書をキーストアに格納します。

.LP

.SH "コマンドとオプションに関する注意"

.LP

.LP

.LP

以下では、コマンドとそのオプションについて説明します。次の点に注意してください。

.LP

.RS 3

.TP 2

o

どのコマンド名およびオプション名にも先頭にマイナス記号 (\-) が付く

.TP 2

o

各コマンドのオプションは任意の順序で指定できる

.TP 2

o

イタリック体になっていないすべての項目、または中括弧か角括弧で囲まれているすべての項目は、そのとおりに指定する必要がある

.TP 2

o

オプションを囲む中括弧は、一般に、そのオプションをコマンド行で指定しなかった場合に、既定値が使われることを意味する。中括弧は、\f2\-v\fP、\f2\-rfc\fP、および \f2\-J\fP オプションを囲むのにも使われるが、これらのオプションはコマンド行で指定された場合にのみ意味を持つ (つまり、これらのオプションには、オプション自体を指定しないこと以外に「既定値」は存在しない)

.TP 2

o

オプションを囲む角括弧は、そのオプションをコマンド行で指定しなかった場合に、値の入力を求められることを意味する。ただし、\f2\-keypass\fP オプションをコマンド行で指定しなかった場合は、\f3keytool\fP がキーストアのパスワードから非公開/秘密鍵の復元を試みる。ユーザは、この試みが失敗した場合に非公開/秘密鍵パスワードの入力を求められる

.TP 2

o

イタリック体の項目の実際の値 (オプションの値) は、ユーザが指定する必要がある。たとえば、\f2\-printcert\fP コマンドの形式は次のとおりである

.nf

\f3

.fl

  keytool \-printcert {\-file \fP\f4cert_file\fP\f3} {\-v}

.fl

\fP

.fi

.LP

\f2\-printcert\fP コマンドを指定するときは、\f2cert_file\fP の代わりに実際のファイル名を指定する。 次に例を示す

.nf

\f3

.fl

  keytool \-printcert \-file VScert.cer

.fl

\fP

.fi

.TP 2

o

オプションの値に空白 (スペース) が含まれている場合は、値を引用符で囲む必要がある

.TP 2

o

\f2\-help\fP コマンドはデフォルトのコマンドである。たとえば、次のようにコマンド行を指定したとする

.nf

\f3

.fl

  keytool

.fl

\fP

.fi

これは、次のように指定することと同じである

.nf

\f3

.fl

  keytool \-help

.fl

\fP

.fi

.RE

.LP

.SS 

オプションの既定値

.LP

.RS 3

.LP

オプションの既定値は、次のとおりです。

.nf

\f3

.fl

\-alias "mykey"

.fl

.fl

\-keyalg

.fl

    "DSA" (\fP\f3\-genkeypair\fP\f3 を使用している場合)

.fl

    "DES" (\fP\f3\-genseckey\fP\f3 を使用している場合)

.fl

.fl

\-keysize

.fl

    1024 (\fP\f3\-genkeypair\fP\f3 を使用している場合)

.fl

    56 (\fP\f3\-genseckey\fP\f3 を使用していて \-keyalg が "DES" の場合)

.fl

    168 (\fP\f3\-genseckey\fP\f3 を使用していて \-keyalg が "DESede" の場合)

.fl

.fl

\-validity 90

.fl

.fl

\-keystore ユーザのホームディレクトリの .keystore というファイル

.fl

.fl

\-storetype セキュリティプロパティファイルの「keystore.type」プロパティの値で、 java.security.KeyStore の静的な getDefaultType メソッドから返される

.fl

.fl

\-file 読み込みの場合は標準入力、書き込みの場合は標準出力

.fl

.fl

\-protected false

.fl

.fl

\fP

.fi

.LP

非公開/秘密鍵ペアの生成において、署名アルゴリズム (\f2\-sigalg\fP オプション) は、基になる非公開鍵のアルゴリズムから派生します。基になる非公開鍵が DSA タイプである場合、\f2\-sigalg\fP オプションの既定値は SHA1withDSA になり、基になる非公開鍵が RSA タイプである場合は、\f2\-sigalg\fP オプションの既定値は MD5withRSA になります。選択可能な \f2\-keyalg\fP および \f2\-sigalg\fP の完全な一覧については、

.fi

http://java.sun.com/javase/6/docs/technotes/guides/security/crypto/CryptoSpec.html#AppA

の

.na

「\f2Java Cryptography Architecture API Specification & Reference\fP」を参照してください。

.RE

.SS 

一般オプション

.LP

.RS 3

.LP

\f2\-v\fP オプションは、\f2\-help\fP コマンドを除くすべてのコマンドで使用できます。このオプションを指定した場合、コマンドは「冗長」モードで実行され、詳細な情報が出力されます。

.LP

また、\f2\-J\fP\f2javaoption\fP オプションも、任意のコマンドで使用できます。このオプションを指定した場合、指定された \f2javaoption\fP 文字列が Java インタプリタに直接渡されます。

このオプションには、空白を含めることはできません。このオプションは、実行環境またはメモリ使用を調整する場合に便利です。指定できるインタプリタオプションを一覧表示するには、コマンド行で \f2java \-h\fP または \f2java \-X\fP と入力してください。

.LP

.LP

次のオプションは、キーストアに対する操作を行うすべてのコマンドで指定できます。

.LP

.RS 3

.TP 3

\-storetype storetype 

この修飾子は、インスタンスを生成するキーストアのタイプを指定します。

.TP 3

\-keystore keystore 

キーストアの場所を指定します。

.LP

特定の \f3keytool\fP コマンドを実行する際に、JKS ストアタイプが使用され、かつキーストアファイルがまだ存在していなかった場合、新しいキーストアファイルが作成されます。たとえば、\f2keytool \-genkeypair\fP の実行時に \f2\-keystore\fP オプションが指定されなかった場合、\f2.keystore\fP という名前のデフォルトキーストアファイルがユーザのホームディレクトリ内にまだ存在していなければ、そこに作成されます。同様に、\f2\-keystore \fP\f2ks_file\fP というオプションが指定されてもその \f2ks_file\fP が存在しなかった場合、そのファイルが作成されます。

.LP

\f2\-keystore\fP オプションからの入力ストリームは \f2KeyStore.load\fP メソッドに渡されます。\f2NONE\fP が URL として指定された場合は、null ストリームが \f2KeyStore.load\fP メソッドに渡されます。\f2KeyStore\fP がファイルベースでない場合 (ハードウェアトークンデバイス上に存在している場合など)、\f2NONE\fP を指定してください。  

.TP 3

\-storepass storepass 

キーストアの完全性を保護するために使うパスワードを指定します。

.LP

\f2storepass\fP は、6 文字以上でなければなりません。指定したパスワードは、キーストアの内容にアクセスするすべてのコマンドで使われます。この種のコマンドを実行するときに、コマンド行で \f2\-storepass\fP オプションを指定しなかった場合は、パスワードの入力を求められます。

.LP

キーストアから情報を取り出す場合は、パスワードを省略できます。 パスワードを省略すると、取り出す情報の完全性をチェックできないので、警告が表示されます。

.TP 3

\-providerName provider_name 

セキュリティプロパティファイル内に含まれる暗号化サービスプロバイダ名を特定するために使用されます。 

.TP 3

\-providerClass provider_class_name 

暗号化サービスプロバイダがセキュリティプロパティファイルに指定されていない場合は、そのマスタークラスファイルの名前を指定するときに使われます。

.TP 3

\-providerArg provider_arg 

\f2\-providerClass\fP と組み合わせて使用します。\f2provider_class_name\fP のコンストラクタに対する省略可能な文字列入力引数を表します。 

.TP 3

\-protected 

\f2true\fP、\f2false\fP のいずれか。専用 PIN リーダなどの保護された認証パスを介してパスワードを指定する必要がある場合には、この値に \f2true\fP を指定してください。 

.RE

.LP

.RE

.SH "コマンド"

.LP

.LP

.SS 

キーストアへのデータの作成および追加

.LP

.RS 3

.LP

.RS 3

.TP 3

\-genkeypair {\-alias alias} 

{\-keyalg keyalg} {\-keysize keysize} {\-sigalg sigalg} [\-dname dname] [\-keypass keypass] {\-validity valDays} {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 

.LP

鍵のペア (公開鍵および関連する非公開鍵) を生成します。公開鍵は X.509 v3 自己署名証明書でラップされます。

証明書は、単一の要素を持つ証明連鎖として格納されます。この証明連鎖と非公開鍵は、\f2alias\fP で特定される新しいキーストアエントリに格納されます。

.LP

\f2keyalg\fP には、鍵のペアを生成するのに使うアルゴリズムを指定し、\f2keysize\fP には、生成する各鍵のサイズを指定します。\f2sigalg\fP には、自己署名証明書に署名を付けるときに使うアルゴリズムを指定します。 このアルゴリズムは、\f2keyalg\fP と互換性のあるものでなければなりません。

.LP

\f2dname\fP には、\f2alias\fP に関連付け、自己署名証明書の \f2issuer\fP フィールドと \f2subject\fP フィールドとして使う X.500 識別名を指定します。コマンド行で識別名を指定しなかった場合は、識別名の入力を求められます。

.LP

\f2keypass\fP には、生成される鍵のペアのうち、非公開鍵を保護するのに使うパスワードを指定します。パスワードを指定しなかった場合は、パスワードの入力を求められます。このとき、Return キーを押すと、キーストアのパスワードと同じパスワードが鍵のパスワードに設定されます。\f2keypass\fP は、6 文字以上でなければなりません。

.LP

\f2valDays\fP には、証明書の有効日数を指定します。

.LP

このコマンドは、以前のリリースでは \f2\-genkey\fP という名前でした。この古い名前は、このリリースでも引き続きサポートされており、今後のリリースでもサポートされる予定です。ただし、今後はわかりやすいように、新しい名前 \f2\-genkeypair\fP を使用することをお勧めします。  

.TP 3

\-genseckey {\-alias alias} 

{\-keyalg keyalg} {\-keysize keysize} [\-keypass keypass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 

.LP

秘密鍵を生成し、それを \f2alias\fP で特定される新しい \f2KeyStore.SecretKeyEntry\fP 内に格納します。 

.LP

\f2keyalg\fP は秘密鍵の生成に使用するアルゴリズムを、\f2keysize\fP は生成する鍵のサイズを、それぞれ指定します。\f2keypass\fP は秘密鍵の保護に使用するパスワードです。パスワードを指定しなかった場合、ユーザはその入力を求められます。ユーザがプロンプトで RETURN キーを押した場合、鍵のパスワードはキーストアと同じパスワードに設定されます。\f2keypass\fP の長さは 6 文字以上でなければいけません。  

.TP 3

\-importcert {\-alias alias} 

{\-file cert_file} [\-keypass keypass] {\-noprompt} {\-trustcacerts} {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 

.LP

ファイル \f2cert_file\fP から証明書または証明連鎖 (証明連鎖の場合は、PKCS#7 形式の応答で提供されるもの) を読み込み、\f2alias\fP によって特定されるキーストアエントリに格納します。ファイルが指定されていない場合は、標準入力から証明書または PKCS#7 応答を読み込みます。

.LP

\f3keytool\fP では、X.509 v1、v2、v3 の証明書、および、PKCS#7 形式の証明書から構成されている PKCS#7 形式の証明連鎖をインポートできます。インポートするデータは、バイナリ符号化方式、または出力可能符号化方式 (Base64 符号化とも呼ばれる) のどちらかで提供する必要があります。 出力可能符号化方式は、インターネット RFC 1421 証明書符号化規格で定義されています。この符号化方式の場合、証明書は「\-\-\-\-\-BEGIN」で始まる文字列で開始され、「\-\-\-\-\-END」で始まる文字列で終了しなければなりません。

.LP

証明書のインポートには、次の 2 つの目的があります。

.RS 3

.TP 3

1.

信頼できる証明書のリストに証明書を追加する

.TP 3

2.

CA に証明書署名要求 (\-certreq コマンドを参照) を送信した結果として、CA から受け取った証明応答をインポートする

.RE

.LP

ユーザがどのタイプのインポートを意図しているかは、次のように \f2\-alias\fP オプションの値によって示されます。 

.RS 3

.TP 3

1.

\f3別名が特定の鍵エントリを指していない場合\fP、\f3keytool\fP は、ユーザが信頼できる証明書のエントリを追加しようとしていると見なします。この場合、その別名がキーストア内にすでに存在していてはいけません。その別名がすでに存在していた場合、その別名の信頼できる証明書がすでに存在することになるので、\f3keytool\fP はエラーを出力し、証明書のインポートを行いません。 

.TP 3

2.

\f3別名が特定の鍵エントリを指している場合\fP、\f3keytool\fP は、ユーザが証明書応答をインポートしようとしていると見なします。 

.RE

.LP

\f3新しい信頼できる証明書のインポート\fP 

.RS 3

.LP

.LP

\f3keytool\fP は、キーストアに証明書を追加する前に、キーストア内にすでに存在する信頼できる証明書を使って、インポートする証明書から (ルート CA の) 自己署名証明書に至るまでの信頼の連鎖の構築を試みます。

.LP

.LP

\f2\-trustcacerts\fP オプションを指定した場合、追加の証明書は信頼できる、すなわち cacerts という名前のファイルに含まれる証明書の連鎖と見なされます。

.LP

.LP

\f3keytool\fP が、インポートする証明書から自己署名証明書 (キーストアまたは cacerts ファイルに含まれている自己署名証明書) に至るまでの信頼のパスの構築に失敗した場合は、インポートする証明書の情報を表示し、ユーザに確認を求めます。この場合は、表示された証明書のフィンガープリントと、ほかの何らかの (信頼できる) 情報源 (証明書の所有者本人など) から入手したフィンガープリントとを比較します。「信頼できる証明書」として証明書をインポートするときは、証明書が有効であることを慎重に確認する必要があります。詳細は、「信頼できる証明書のインポートに関する注意事項」を参照してください。インポート操作は、証明書を確認する時点で中止できます。ただし、\f2\-noprompt\fP オプションが指定されている場合、ユーザとの対話は行われません。

.LP

.RE

\f3証明応答のインポート\fP 

.RS 3

.LP

「証明応答」をインポートするときは、キーストア内の信頼できる証明書、および (\f2\-trustcacerts\fP オプションが指定されている場合は) cacerts キーストアファイルで構成された証明書を使って証明応答が検査されます。

.LP

.LP

証明応答が信頼できるかどうかを決定する方法は次のとおりです。

.LP

.RS 3

.TP 2

o

\f3証明応答が単一の X.509 証明書である場合\fP、\f3keytool\fP は、証明応答から (ルート CA の) 自己署名証明書に至るまでの信頼連鎖の確立を試みます。証明応答と、証明応答の認証に使われる証明書の階層構造は、\f2alias\fP の新しい証明連鎖を形成します。信頼連鎖が確立されない場合、証明応答はインポートされません。この場合、\f3keytool\fP は証明書を出力せず、ユーザに検証を求めるプロンプトを表示します。ユーザが証明応答の信頼性を判断するのは、不可能ではなくても非常に困難だからです。

.TP 2

o

\f3証明応答が PKCS#7 形式の証明連鎖である場合\fP、\f3keytool\fP は、まず連鎖を並べ替えて、ユーザの証明書が最初に、ルート CA の自己署名証明書が最後にくるようにしたあと、証明応答に含まれるルート CA の証明書と、キーストア内または (\f2\-trustcacerts\fP オプションが指定されている場合は) cacerts キーストアファイル内の信頼できる証明書とをすべて比較し、一致するものがあるかどうかを調べます。一致するものが見つからなかった場合は、ルート CA の証明書の情報を表示し、ユーザに確認を求めます。 この場合は、表示された証明書のフィンガープリントと、ほかの何らかの (信頼できる) 情報源 (ルート CA 自身など) から入手したフィンガープリントとを比較します。インポート操作は、証明書を確認する時点で中止できます。ただし、\f2\-noprompt\fP オプションが指定されている場合、ユーザとの対話は行われません。

.RE

.LP

.LP

証明書応答内の公開鍵が \f2alias\fP の下にすでに格納されているユーザの公開鍵に一致した場合、古い証明連鎖が応答内の新しい証明連鎖で置き換えられます。

以前の証明連鎖を新しい証明連鎖で置き換えることができるのは、有効な \f2keypass\fP、つまり該当するエントリの非公開鍵を保護するためのパスワードを指定した場合だけです。パスワードを指定しておらず、非公開鍵のパスワードがキーストアのパスワードと異なる場合は、非公開鍵のパスワードの入力を求められます。

.LP

.RE

.LP

このコマンドは、以前のリリースでは \f2\-import\fP という名前でした。この古い名前は、このリリースでも引き続きサポートされており、今後のリリースでもサポートされる予定です。ただし、今後はわかりやすいように、新しい名前 \f2\-importcert\fP を使用することをお勧めします。    

.TP 3

\-importkeystore \-srckeystore srckeystore 

\-destkeystore destkeystore {\-srcstoretype srcstoretype} {\-deststoretype deststoretype} [\-srcstorepass srcstorepass] [\-deststorepass deststorepass] {\-srcprotected} {\-destprotected} {\-srcalias srcalias {\-destalias destalias} [\-srckeypass srckeypass] [\-destkeypass destkeypass] } {\-noprompt} {\-srcProviderName src_provider_name} {\-destProviderName dest_provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 

.LP

ソースキーストアからターゲットキーストアへ、単一のエントリまたはすべてのエントリをインポートします。 

.LP

\f2srcalias\fP オプションが指定された場合、このコマンドは、その別名で特定される単一のエントリをターゲットキーストアにインポートします。\f2destalias\fP 経由でターゲット別名が指定されなかった場合、\f2srcalias\fP がターゲット別名として使用されます。ソースのエントリがパスワードで保護されていた場合、\f2srckeypass\fP を使ってそのエントリが回復されます。\f2srckeypass\fP が指定されなかった場合、\f3keytool\fP は \f2srcstorepass\fP を使ってそのエントリを回復しようとします。\f2srcstorepass\fP が指定されなかったか正しくなかった場合、ユーザはパスワードの入力を求められます。ターゲットエントリは \f2destkeypass\fP によって保護されます。\f2destkeypass\fP が指定されなかった場合、ターゲットエントリはソースエントリのパスワードによって保護されます。 

.LP

\f2srcalias\fP オプションが指定されなかった場合、ソースキーストア内のすべてのエントリがターゲットキーストア内にインポートされます。各ターゲットエントリは対応するソースエントリの別名の下に格納されます。ソースエントリがパスワードで保護されていた場合、\f2srcstorepass\fP を使ってそのエントリが回復されます。\f2srcstorepass\fP が指定されなかったか正しくなかった場合、ユーザはパスワードの入力を求められます。ソースキーストア内のあるエントリタイプがターゲットキーストアでサポートされていない場合や、あるエントリをターゲットキーストアに格納する際にエラーが発生した場合、ユーザはそのエントリをスキップして処理を続行するか、あるいは処理を中断するかの選択を求められます。ターゲットエントリはソースエントリのパスワードによって保護されます。 

.LP

ターゲット別名がターゲットキーストア内にすでに存在していた場合、ユーザは、そのエントリを上書きするか、あるいは異なる別名の下で新しいエントリを作成するかの選択を求められます。 

.LP

\f2\-noprompt\fP を指定した場合、ユーザは新しいターゲット別名の入力を求められません。既存のエントリはそのターゲット別名で自動的に上書きされます。最後に、インポートできないエントリは自動的にスキップされ、警告が出力されます。  

.RE

.RE

.SS 

データのエクスポート

.LP

.RS 3

.LP

.RS 3

.TP 3

\-certreq {\-alias alias} 

{\-sigalg sigalg} {\-file certreq_file} [\-keypass keypass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 

.LP

PKCS#10 形式を使って証明書署名要求 (CSR) を生成します。

.LP

CSR は、認証局 (CA) に送信することを目的としたものです。CA は、証明書要求者を (通常はオフラインで) 認証し、証明書または証明連鎖を送り返します。 この証明書または証明連鎖は、キーストア内の既存の証明連鎖 (最初は 1 つの自己署名証明書から構成される) に置き換えて使います。

.LP

\f2alias\fP に関連付けられた非公開鍵と X.500 識別名は、PKCS#10 証明書要求を作成するのに使われます。非公開鍵はキーストア内ではパスワードによって保護されているので、非公開鍵にアクセスするには、適切なパスワードを提供する必要があります。コマンド行で \f2keypass\fP を指定しておらず、非公開鍵のパスワードがキーストアのパスワードと異なる場合は、非公開鍵のパスワードの入力を求められます。

.LP

\f2sigalg\fP には、CSR に署名を付けるときに使うアルゴリズムを指定します。

.LP

CSR は、ファイル \f2certreq_file\fP に格納されます。ファイルが指定されていない場合は、標準出力に CSR が出力されます。

.LP

CA からの応答をインポートするには、\f2importcert\fP コマンドを使います。

.TP 3

\-exportcert {\-alias alias} 

{\-file cert_file} {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-rfc} {\-v} {\-protected} {\-Jjavaoption} 

.LP

\f2alias\fP に関連付けられた証明書を (キーストアから) 読み込み、ファイル \f2cert_file\fP に格納します。

.LP

ファイルが指定されていない場合は、標準出力に証明書が出力されます。

.LP

デフォルトでは、バイナリ符号化方式の証明書が出力されます。 ただし、\f2\-rfc\fP オプションを指定した場合は、出力可能符号化方式の証明書が出力されます。 出力可能符号化方式は、インターネット RFC 1421 証明書符号化規格で定義されています。

.LP

\f2alias\fP が、信頼できる証明書を参照している場合は、該当する証明書が出力されます。それ以外の場合、\f2alias\fP は、関連付けられた証明連鎖を持つ鍵エントリを参照します。この場合は、連鎖内の最初の証明書が返されます。この証明書は、\f2alias\fP によって表されるエンティティの公開鍵を認証する証明書です。

.LP

このコマンドは、以前のリリースでは \f2\-export\fP という名前でした。この古い名前は、このリリースでも引き続きサポートされており、今後のリリースでもサポートされる予定です。ただし、今後はわかりやすいように、新しい名前 \f2\-exportcert\fP を使用することをお勧めします。  

.RE

.LP

.RE

.SS 

データの表示

.LP

.RS 3

.LP

.RS 3

.TP 3

\-list {\-alias alias} 

{\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v | \-rfc} {\-protected} {\-Jjavaoption} 

.LP

\f2alias\fP で特定されるキーストアエントリの内容を (標準出力に) 出力します。別名が指定されていない場合は、キーストア全体の内容が表示されます。

.LP

このコマンドは、デフォルトでは証明書の MD5 フィンガープリントを表示します。

\f2\-v\fP オプションが指定されている場合は、所有者、発行者、シリアル番号、拡張機能などの付加的な情報とともに、人間が読むことのできる形式で証明書が表示されます。

-rfc オプションが指定されている場合は、出力可能符号化方式で証明書の内容が表示されます。 出力可能符号化方式は、インターネット RFC 1421 証明書符号化規格で定義されています。

.LP

\f2\-v\fP オプションと \f2\-rfc\fP オプションとを同時に指定することはできません。

.TP 3

\-printcert {\-file cert_file} {\-v} {\-Jjavaoption} 

.LP

.LP

\f2cert_file\fP ファイルから証明書を読み込み、人間が読むことのできる形式で証明書の内容を表示します。ファイルが指定されていない場合は、標準入力から証明書を読み込みます。

.LP

証明書は、バイナリ符号化方式または出力可能符号化方式で表示できます。 出力可能符号化方式は、インターネット RFC 1421 証明書符号化規格で定義されています。

.LP

注: このコマンドはキーストアとは関係なく動作します。

.RE

.LP

.RE

.SS 

キーストアの管理

.LP

.RS 3

.LP

.RS 3

.TP 3

\-storepasswd [\-new new_storepass] 

{\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-Jjavaoption} 

.LP

キーストアの内容の完全性を保護するために使うパスワードを変更します。\f2new_storepass\fP には、新しいパスワードを指定します。\f2new_storepass\fP は、6 文字以上でなければなりません。

.TP 3

\-keypasswd {\-alias alias} 

[\-keypass old_keypass] [\-new new_keypass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-Jjavaoption} 

.LP

.I

alias

によって特定される非公開/秘密鍵を保護するためのパスワードを、

.I old_keypass

から 

.I new_keypass

に変更します。

.I new_keypass

は、6 文字以上でなければなりません。

.LP

コマンド行で \f2\-keypass\fP オプションを指定しておらず、鍵のパスワードがキーストアのパスワードと異なる場合は、非公開鍵のパスワードの入力を求められます。

.LP

コマンド行で \f2\-new\fP オプションを指定しなかった場合は、新しいパスワードの入力を求められます。

.TP 3

\-delete [\-alias alias] 

{\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 

.LP

.I alias

によって特定されるエントリをキーストアから削除します。コマンド行で別名を指定しなかった場合は、別名の入力を求められます。

.TP 3

\-changealias {\-alias alias} 

[\-destalias destalias] [\-keypass keypass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 

.LP

指定された \f2alias\fP から新しい別名 \f2destalias\fP へ、既存のキーストアエントリを移動します。ターゲット別名が指定されなかった場合、このコマンドはその入力を求めます。元のエントリがエントリパスワードで保護されていた場合、「-keypass」オプション経由でそのパスワードを指定できます。鍵パスワードが指定されなかった場合、\f2storepass\fP (指定された場合) がまず試みられます。その試みが失敗すると、ユーザはパスワードの入力を求められます。  

.RE

.LP

.RE

.SS 

ヘルプの表示

.LP

.RS 3

.LP

.RS 3

.TP 3

\-help 

.LP

基本的なコマンドとそのオプションの一覧を表示します。

.RE

.LP

.RE

.SH "例"

.LP

.LP

.LP

ここでは、自分の鍵のペアおよび信頼できるエンティティからの証明書を管理するためのキーストアを作成する場合を例として示します。

.LP

.SS 

鍵のペアの生成

.LP

.RS 3

.LP

.LP

まず、キーストアを作成して鍵のペアを生成する必要があります。次に示すのは、実行するコマンドの例です。

.LP

.nf

\f3

.fl

    keytool \-genkeypair \-dname "cn=Mark Jones, ou=JavaSoft, o=Sun, c=US"

.fl

      \-alias business \-keypass kpi135 \-keystore /working/mykeystore

.fl

      \-storepass ab987c \-validity 180

.fl

\fP

.fi

.LP

.LP

注: このコマンドは 1 行に入力しなければなりません。例で複数行に入力しているのは読みやすくするためです。

.LP

.LP

この例では、working ディレクトリに mykeystore という名前のキーストアを作成し (キーストアはまだ存在していないと仮定する)、作成したキーストアにパスワード ab987c を割り当てます。生成する公開鍵と非公開鍵のペアに対応するエンティティの「識別名」は、通称が「Mark Jones」、組織単位が「JavaSoft」、組織が「Sun」、2 文字の国番号が「US」です。公開鍵と非公開鍵のサイズはどちらも 1024 ビットで、鍵の作成にはデフォルトの DSA 鍵生成アルゴリズムを使用します。

.LP

.LP

このコマンドは、公開鍵と識別名情報を含む自己署名証明書 (デフォルトの SHA1withDSA 署名アルゴリズムを使用) を作成します。証明書の有効期間は 180 日です。証明書は、別名「business」で特定されるキーストアエントリ内の非公開鍵に関連付けられます。非公開鍵にはパスワード「kpi135」が割り当てられます。

.LP

.LP

オプションの既定値を使う場合は、上に示したコマンドを大幅に短くすることができます。実際には、オプションを 1 つも指定せずにコマンドを実行することも可能です。既定値を持つオプションでは、オプションを指定しなければ既定値が使われ、必要な値については入力を求められます。たとえば、単に次のように入力することもできます。

.LP