." Copyright (c) 1998-2010 keytool tool, Oracle and/or its affiliates. All rights reserved.

.TH keytool 1 "14 Apr 2011"

.SH "名前"

keytool \- 鍵と証明書の管理ツール

暗号化鍵、X.509 証明書チェーン、および信頼できる証明書を含むキーストア (データベース) を管理します。

.SH "形式"

Java SE 6 で keytool のコマンドインタフェースが変更されました。詳細については「変更点」の節を参照してください。以前に定義されたコマンドも引き続きサポートされています。

.SH "説明"

\f3keytool\fP は、鍵と証明書を管理するためのユーティリティーです。keytool を使うと、自分の公開鍵と非公開鍵のペア、および関連する証明書を管理し、デジタル署名を使った自己認証 (ほかのユーザーまたはサービスに対して自分自身を認証すること) や、データの整合性と証明書に関するサービスを利用することができます。keytool では、通信相手の公開鍵を (証明書の形で) キャッシュすることもできます。 

「証明書」とは、あるエンティティー (人物、会社など) からのデジタル署名付きの文書のことです。証明書には、ほかのあるエンティティーの公開鍵 (およびその他の情報) が特別な値を持っていることが書かれています(「証明書」を参照)。データにデジタル署名が付いている場合は、デジタル署名を検証することで、データの整合性およびデータが本物であることをチェックできます。データの「整合性」とは、データが変更されたり、改変されたりしていないことを意味します。 また、データが「本物である」とは、そのデータが、データを作成して署名したと称する人物から実際に渡されたデータであることを意味します。

また、\f3keytool\fP を使えば、DES などの対称暗号化/復号化で使用される秘密鍵を管理することもできます。

\f3keytool\fP は、鍵と証明書を\f2「キーストア」\fPに格納します。

.SH "コマンドとオプションに関する注"

以下では、コマンドとそのオプションについて説明します。注:

どのコマンド名およびオプション名にも先頭にマイナス記号 (\-) が付く 

各コマンドのオプションは任意の順序で指定できる 

イタリック体になっていないすべての項目、または中括弧か角括弧で囲まれているすべての項目は、そのとおりに指定する必要がある 

オプションを囲む中括弧は、一般に、そのオプションをコマンド行で指定しなかった場合に、デフォルト値が使われることを意味する。中括弧は、 \f2\-v\fP、 \f2\-rfc\fP、および \f2\-J\fP オプションを囲むのにも使われるが、これらのオプションはコマンド行で指定された場合にのみ意味を持つ (つまり、これらのオプションには、オプション自体を指定しないこと以外に「デフォルト値」は存在しない) 

オプションを囲む角括弧は、そのオプションをコマンド行で指定しなかった場合に、値の入力を求められることを意味する。( \f2\-keypass\fP オプションの場合、オプションをコマンド行で指定しなかった場合は、\f3keytool\fP がまずキーストアのパスワードから非公開/秘密鍵の復元を試みる。 ユーザーは、この試みが失敗した場合に非公開/秘密鍵のパスワードの入力を求められる 

イタリック体の項目の実際の値 (オプションの値) は、ユーザーが指定する必要があるたとえば、 \f2\-printcert\fP コマンドの形式は次のとおりである 

\f2\-printcert\fP コマンドを指定するときは、\f2cert_file\fP の代わりに実際のファイル名を指定する。次に例を示す 

オプションの値に空白 (スペース) が含まれている場合は、値を引用符で囲む必要がある 

\f2\-help\fP コマンドはデフォルトのコマンドである。たとえば、次のようにコマンド行を指定したとする 

.LP

これは、次のように指定することと同じです。 

オプションのデフォルト値

.LP

オプションのデフォルト値は、次のとおりです。

    "DSA" (\fP\f3\-genkeypair\fP\f3 を使用している場合)

    "DES" (\fP\f3\-genseckey\fP\f3 を使用している場合)

    2048 (\fP\f3\-genkeypair\fP\f3 を使用していて \-keyalg が "RSA" の場合)

.fl

    1024 (\fP\f3\-genkeypair\fP\f3 を使用していて \-keyalg が "DSA" の場合)

.fl

    256 (\fP\f3\-genkeypair\fP\f3 を使用していて \-keyalg が "EC" の場合)

    56 (\fP\f3\-genseckey\fP\f3 を使用していて \-keyalg が "DES" の場合)

    168 (\fP\f3\-genseckey\fP\f3 を使用していて \-keyalg が "DESede" の場合)

.fl

\-keystore ユーザーのホームディレクトリの  \fP\f4.keystore\fP\f3  というファイル

\-storetype セキュリティープロパティーファイルの「keystore.type」プロパティーの値で、

           java.security.KeyStore の静的な getDefaultType メソッドから返される \fP\f4 \fP\f3  

.fl

           \fP\f4 \fP\f3

\-file 読み込みの場合は標準入力、書き込みの場合は標準出力

.LP

公開/非公開鍵ペアの生成において、署名アルゴリズム (\f2\-sigalg\fP オプション) は、基になる非公開鍵のアルゴリズムから派生します。

.TP 2

o

基になる非公開鍵が DSA タイプである場合、\f2\-sigalg\fP オプションのデフォルト値は SHA1withDSA になり、 

.TP 2

o

基になる非公開鍵が RSA タイプである場合は、\f2\-sigalg\fP オプションのデフォルト値は SHA256withRSA になり、 

.TP 2

o

基になる非公開鍵が EC タイプである場合は、\f2\-sigalg\fP オプションのデフォルト値は SHA256withECDSA になります。 

.RE

選択可能な \f2\-keyalg\fP および \f2\-sigalg\fP の完全な一覧については、

.na

\f2「Java Cryptography Architecture API Specification & Reference」\fP @

.fi

http://java.sun.com/javase/6/docs/technotes/guides/security/crypto/CryptoSpec.html#AppAを参照してください。

.LP

.SS 

一般オプション

\f2\-v\fP オプションは、 \f2\-help\fP コマンドを除くすべてのコマンドで使用できます。このオプションを指定した場合、コマンドは「冗長」モードで実行され、詳細な証明書情報が出力されます。

.LP

.LP

また、 \f2\-J\fP\f2javaoption\fP オプションも、任意のコマンドで使用できます。このオプションを指定した場合、指定された \f2javaoption\fP 文字列が Java インタプリタに直接渡されます。このオプションには、空白を含めることはできません。このオプションは、実行環境またはメモリー使用を調整する場合に便利です。指定できるインタプリタオプションを一覧表示するには、コマンド行で \f2java \-h\fP または \f2java \-X\fP と入力してください。

.LP

.LP

次のオプションは、キーストアに対する操作を行うすべてのコマンドで指定できます。

.LP

この修飾子は、インスタンスを生成するキーストアのタイプを指定します。  

キーストアの場所を指定します。 

特定の \f3keytool\fP コマンドを実行する際に、JKS ストアタイプが使用され、かつキーストアファイルがまだ存在していなかった場合、新しいキーストアファイルが作成されます。たとえば、 \f2keytool \-genkeypair\fP の実行時に \f2\-keystore\fP オプションが指定されなかった場合、 \f2.keystore\fP という名前のデフォルトキーストアファイルがユーザーのホームディレクトリ内にまだ存在していなければ、そこに作成されます。同様に、 \f2\-keystore \fP\f2ks_file\fP というオプションが指定されてもその \f2ks_file\fP が存在しなかった場合、そのファイルが作成されます。 

\f2\-keystore\fP オプションからの入力ストリームは、 \f2KeyStore.load\fP メソッドに渡されます。URL として \f2NONE\fP が指定されている場合は、null のストリームが \f2KeyStore.load\fP メソッドに渡されます。 \f2NONE\fP は、 \f2KeyStore\fP がファイルベースではなく、たとえば、ハードウェアトークンデバイスに置かれている場合に指定します。  

\-storepass[:env|:file] argument 

キーストアの整合性を保護するために使うパスワードを指定します。 

修飾子 \f2env\fP または \f2file\fP を指定しない場合、パスワードの値は \f2argument\fP になります。この値は、6 文字以上にする必要があります。それ以外の場合、パスワードは次のように取得されます。 

\f2env\fP: \f2argument\fP という名前の環境変数からパスワードを取得する 

\f2file\fP: \f2argument\fP という名前のファイルからパスワードを取得する 

.RE

.LP

\f3注\fP: \f2\-keypass\fP、 \f2\-srckeypass\fP、 \f2\-destkeypass\fP \f2\-srcstorepass\fP、 \f2\-deststorepass\fP などのパスワードを必要とするその他のオプションはすべて、 \f2env\fP と \f2file\fP 修飾子を受け付けます。パスワードオプションと修飾子は、必ずコロン (\f2:\fP) で区切ってください。 

.LP

パスワードは、キーストアの内容にアクセスするすべてのコマンドで使われます。この種のコマンドを実行するときに、コマンド行で \f2\-storepass\fP オプションを指定しなかった場合は、パスワードの入力を求められます。 

.LP

キーストアから情報を取り出す場合は、パスワードを省略できます。 パスワードを省略すると、取り出す情報の整合性をチェックできないので、警告が表示されます。  

.TP 3

\-providerName provider_name 

.LP

セキュリティープロパティーファイル内に含まれる暗号化サービスプロバイダ名を特定するために使用されます。  

.TP 3

\-providerClass provider_class_name 

.LP

暗号化サービスプロバイダがセキュリティープロパティーファイルに指定されていないときは、そのマスタークラスファイルの名前を指定するときに使われます。  

.TP 3

\-providerArg provider_arg 

.LP

\f2\-providerClass\fP と組み合わせて使用します。\f2provider_class_name\fP のコンストラクタに対する省略可能な文字列入力引数を表します。  

.TP 3

\-protected 

.LP

\f2true\fP または \f2false\fP のいずれか。専用 PIN リーダーなどの保護された認証パスを介してパスワードを指定する必要がある場合には、この値に \f2true\fP を指定してください。 

.LP

注: \f2\-importkeystore\fP コマンドには 2 つのキーストアが関係しているため、2 つのオプション、つまり \f2\-srcprotected\fP と \f2\-destprotected\fP がソースキーストアとターゲットキーストアにそれぞれ指定されます。  

.TP 3

\-ext {name{:critical}{=value}} 

.LP

X.509 証明書エクステンションを示します。このオプションを \-genkeypair および \-gencert で使用して、生成される証明書または \f2\-certreq\fP にエクステンションを埋め込み、証明書要求で要求されるエクステンションを示すことができます。このオプションは、複数回使用できます。name には、サポートされているエクステンション名 (下記を参照) または任意の OID 番号を指定できます。value を指定した場合は、エクステンションのパラメータを示します。省略した場合は、エクステンションのデフォルト値 (定義されている場合) を示すか、またはエクステンションにパラメータは必要ありません。 \f2:critical\fP 修飾子を指定した場合は、エクステンションの isCritical 属性が true であることを示します。それ以外の場合は false であることを示します。:critical の代わりに : \f2:c\fP を使用できます。 .  

現在、keytool は次の名前のエクステンションをサポートしています (大文字と小文字は区別されない)。

.TS

.if \n+(b.=1 .nr d. \n(.c-\n(c.-1

.de 35

.ps \n(.s

.vs \n(.vu

.in \n(.iu

.if \n(.u .fi

.if \n(.j .ad

.if \n(.j=0 .na

..

.nf

.nr #~ 0

.if n .nr #~ 0.6n

.ds #d .d

.if \(ts\n(.z\(ts\(ts .ds #d nl

.fc

.nr 33 \n(.s

.rm 80 81

.nr 34 \n(.lu

.eo

.am 80

.br

.di a+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(80 .ll \n(80u

.in 0

BC または BasicConstraints

.br

.di

.nr a| \n(dn

.nr a- \n(dl

..

.ec \

.eo

.am 81

.br

.di b+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(81 .ll \n(81u

.in 0

完全な形は「ca:{true|false}[,pathlen:<len>]」で、<len> は「ca:true,pathlen:<len>」の省略表記です。 省略すると、「ca:true」の意味になります

.br

.di

.nr b| \n(dn

.nr b- \n(dl

..

.ec \

.eo

.am 81

.br

.di c+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(81 .ll \n(81u

.in 0

usage(,usage)*。usage には、digitalSignature、 nonRepudiation (contentCommitment)、keyEncipherment、dataEncipherment、keyAgreement、keyCertSign、cRLSign、encipherOnly、decipherOnly のいずれかを指定できます。Usage は、あいまいさがなければ、最初の数文字 (たとえば、digitalSignature を dig に) またはキャメルケーススタイル (たとえば、 digitalSignature を dS に、cRLSign を cRLS に) に 短縮できます。Usage の大文字と小文字は区別されません。

.br

.di

.nr c| \n(dn

.nr c- \n(dl

..

.ec \

.eo

.am 80

.br

.di d+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(80 .ll \n(80u

.in 0

EKU または ExtendedkeyUsage

.br

.di

.nr d| \n(dn

.nr d- \n(dl

..

.ec \

.eo

.am 81

.br

.di e+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(81 .ll \n(81u

.in 0

usage(,usage)*。usage には、anyExtendedKeyUsage、 serverAuth、clientAuth、codeSigning、emailProtection、 timeStamping、OCSPSigning、または任意の OID 文字列のいずれかを指定できます。 名前付きの usage は、あいまいさがなければ、 最初の数文字またはキャメルケーススタイルに 短縮できます。Usage の大文字と小文字は区別されません。

.br

.di

.nr e| \n(dn

.nr e- \n(dl

..

.ec \

.eo

.am 80

.br

.di f+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(80 .ll \n(80u

.in 0

SAN または SubjectAlternativeName

.br

.di

.nr f| \n(dn

.nr f- \n(dl

..

.ec \

.eo

.am 81

.br

.di g+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(81 .ll \n(81u

.in 0

type:value(,type:value)*。type には、EMAIL、URI、DNS、IP、または OID を指定できます。value は、type の文字列形式の値です。

.br

.di

.nr g| \n(dn

.nr g- \n(dl

..

.ec \

.eo

.am 80

.br

.di h+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(80 .ll \n(80u

.in 0

IAN または IssuerAlternativeName

.br

.di

.nr h| \n(dn

.nr h- \n(dl

..

.ec \

.eo

.am 81

.br

.di i+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(81 .ll \n(81u

.in 0

SubjectAlternativeName と同じです

.br

.di

.nr i| \n(dn

.nr i- \n(dl

..

.ec \

.eo

.am 80

.br

.di j+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(80 .ll \n(80u

.in 0

SIA または SubjectInfoAccess

.br

.di

.nr j| \n(dn

.nr j- \n(dl

..

.ec \

.eo

.am 81

.br

.di k+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(81 .ll \n(81u

.in 0

method:location\-type:location\-value (,method:location\-type:location\-value)*。 method には、「timeStamping」、「caRepository」、または任意の OID を指定できます。location\-type および location\-value には、SubjectAlternativeName エクステンションでサポートされる任意の type:value を指定できます。

.br

.di

.nr k| \n(dn

.nr k- \n(dl

..

.ec \

.eo

.am 80

.br

.di l+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(80 .ll \n(80u

.in 0

AIA または AuthorityInfoAccess

.br

.di

.nr l| \n(dn

.nr l- \n(dl

..

.ec \

.eo

.am 81

.br

.di m+

.35

.ft \n(.f

.ll \n(34u*1u/3u

.if \n(.l<\n(81 .ll \n(81u

.in 0