什么是我不能用 keytool 做而我可以用 OpenSSL 做的事情？

Question

虽然我的项目是基于java的，但我们仍然使用OpenSSL来生成密钥和证书。我不明白 OpenSSL 为何比 java 密钥库更好。

我无法使用 keytool 完成哪些操作，而使用 OpenSSL 可以完成？

Answer 1

这取决于您的需求。

如果您只需要生成一个自签名证书用于测试目的，没有扩展（例如在X.509 v1证书中），那么在我看来，使用Keytool （注意：我不知道 Java 7 中的 Keytool 中是否引入了添加/更改）。

此外，如果您只需要管理证书或使用 JKS 密钥库，Keytool 仍然是最佳选择。

除此之外，您还需要使用强大的安全设施，当然就是 OpenSSL。

请注意，如果您只需要为测试生成快速证书/密钥库，您可以使用基于 Java 的工具，例如 Certificate Helper 也创建扩展。

但出于生产/互操作性以及朋友在评论中提到的所有原因，您将使用 OpenSSL。