keytool

この修飾子は、インスタンスを生成するキーストアのタイプを指定します。

• {-rfc}: Request For Comment (RFC)スタイルの出力

• {-infile infile}: 入力ファイル名

• {-outfile outfile}: 出力ファイル名

• {-alias alias}: 処理するエントリの別名

• {-sigalg sigalg}: 署名アルゴリズム名

• {-dname dname}: 識別名

• {-startdate startdate}: 証明書の有効開始日時

• {-ext ext}*: X.509拡張

• {-validity days}: 有効日数

• [-keypass arg]: キーのパスワード

• {-keystore keystore}: キーストア名

• [-storepass arg]: キーストアのパスワード

• {-storetype type}: キーストアのタイプ

• {-providername name}: プロバイダ名

• {-providerclass class [-providerarg arg]}: オプションで構成引数を指定し、完全修飾クラス名でセキュリティ・プロバイダを追加します。たとえば、MyProviderがリフレクションを介してロードされるレガシー・プロバイダの場合、

  keytool -providerclass com.example.MyProvider ...

• {-providerpath list}: プロバイダのクラス・パス

• {-v}: 詳細出力

• {-protected}: 保護されているメカニズムで提供されるパスワード

証明書要求ファイル(keytool -certreqコマンドで作成可能)に対する応答として、証明書を生成します。このコマンドは、infile (省略された場合は標準入力)から要求を読み取り、別名の非公開キーを使って要求に署名し、X.509証明書をoutfile (省略された場合は標準出力)に出力します。-rfcが指定された場合の出力形式は、Base64でエンコードされたPEMです。それ以外の場合は、バイナリDERが作成されます。

sigalgの値には、証明書に署名するときに使うアルゴリズムを指定します。startdate引数は、証明書が有効になる開始時間および日付です。valDays引数には、証明書の有効日数を指定します。

dnameが指定されている場合は、生成される証明書のサブジェクトとして使用されます。そうでない場合は、証明書要求の名前が使われます。

extの値は、証明書に組み込まれるX.509拡張機能を示します。-extの構文については、「一般オプション」を参照してください。

-gencertオプションを使用して、証明書チェーンを作成できます。次の例では、証明書チェーンに3つの証明書を含むe1という証明書を作成します。

次のコマンドでは、ca、ca1、ca2、およびe1という4つのキー・ペアを作成します。

keytool -alias ca -dname CN=CA -genkeypair
keytool -alias ca1 -dname CN=CA -genkeypair
keytool -alias ca2 -dname CN=CA -genkeypair
keytool -alias e1 -dname CN=E1 -genkeypair

次の2つのコマンドでは、署名付き証明書のチェーンを作成します。caがca1に署名し、ca1がca2に署名し、これらのすべてが自己発行されます。

keytool -alias ca1 -certreq |
    keytool -alias ca -gencert -ext san=dns:ca1 |
    keytool -alias ca1 -importcert

keytool -alias ca2 -certreq |
    $KT -alias ca1 -gencert -ext san=dns:ca2 |
    $KT -alias ca2 -importcert

次のコマンドでは、証明書e1を作成し、それをca2によって署名されたe1.certファイルに格納します。この結果、e1の証明書チェーンにはca、ca1、およびca2が含まれることになります。

keytool -alias e1 -certreq | keytool -alias ca2 -gencert > e1.cert

• {-alias alias}: 処理するエントリの別名

• {-keyalg alg}: キー・アルゴリズム名

• {-keysize size}: キーのビット・サイズ

• {-sigalg alg}: 署名アルゴリズム名

• -destalias alias: ターゲット別名

• [-dname name]: 識別名

• {-startdate date}: 証明書の有効開始日時

• [-ext value]*: X.509拡張

• {-validity days}: 有効日数

• [-keypass arg]: キーのパスワード

• {-keystore keystore}: キーストア名

• [-storepass arg]: キーストアのパスワード

• {-storetype type}: キーストアのタイプ

• {-providername name}: プロバイダ名

• {-providerclass class [-providerarg arg]}: オプションで構成引数を指定し、完全修飾クラス名でセキュリティ・プロバイダを追加します。

• {-providerpath list}: プロバイダのクラス・パス

• {-v}: 詳細出力

• {-protected}: 保護されているメカニズムで提供されるパスワード

キーのペア(公開キーおよび関連する非公開キー)を生成します。公開キーはX.509 v3自己署名証明書でラップされます。証明書は、単一の要素を持つ証明書チェーンとして格納されます。この証明書チェーンと非公開キーは、aliasで特定される新しいキーストア・エントリに格納されます。

keyalgの値にはキー・ペアの生成に使用するアルゴリズムを、keysizeの値には生成する各キーのサイズを、それぞれ指定します。sigalgの値には、自己署名証明書に署名するときに使うアルゴリズムを指定します。このアルゴリズムは、keyalgの値と互換性がある必要があります。

dnameの値には、aliasの値に関連付けるX.500識別名を指定します。これは、自己署名証明書のissuerおよびsubjectフィールドとして使用されます。コマンド行で識別名を指定しなかった場合は、ユーザーが識別名の入力を求められます。

keypassの値には、生成されるキーのペアのうち、非公開キーを保護するのに使うパスワードを指定します。パスワードを指定しなかった場合は、ユーザーがその入力を求められます。プロンプトでReturnキーを押すと、キーのパスワードがキーストアのパスワードと同じパスワードに設定されます。keypassの値は、6文字以上である必要があります。

startdateの値には、証明書の発行時間を指定します。これは、X.509証明書のValidityフィールドの「Not Before」値としても知られています。

このオプションの値は、次のいずれかの形式で設定できます。

([+-]nnn[ymdHMS])+

[yyyy/mm/dd] [HH:MM:SS]

最初の形式では、現在の時間から指定された値だけシフトした時間が発行時間になります。この値は、サブ値のシーケンスを連結したものです。各サブ値の内部では、プラス記号(+)が未来へのシフトを意味し、マイナス記号(-)が過去へのシフトを意味します。シフトする時間は、年、月、日、時、分または秒(それぞれy、m、d、H、MまたはSの1文字で示される)を単位とするnnnです。発行時間の正確な値は、左端のサブ値から順にjava.util.GregorianCalendar.add(int field, int amount)メソッドを使用して計算されます。たとえば、指定すると、発行時間は次のようになります。

Calendar c = new GregorianCalendar();
c.add(Calendar.YEAR, -1);
c.add(Calendar.MONTH, 1);
c.add(Calendar.DATE, -1);
return c.getTime()

2番目の形式では、ユーザーが年/月/日と時間:分:秒の2つの部分に正確な発行時間を設定します(ローカル・タイムゾーンを使用)。ユーザーは、一方の部分のみを指定できます。その場合、もう一方の部分は現在の日付(または時間)と同じと見なされます。ユーザーは、形式の定義に示された正確な桁数を指定する必要があります(短い場合は0でパディングします)。日付と時間の両方を指定する場合は、2つの部分の間に空白文字を1つだけ入れます。時間は、常に24時間形式で指定してください。

このオプションを指定しなかった場合、開始日は現在の時間になります。このオプションは最大で1回しか指定できません。

valDaysの値には、証明書が有効と見なされる日数(開始日は-startdateで指定された日付か、-startdateが指定されていない場合は現在の日付)を指定します。

このコマンドは、以前のリリースでは-genkeyという名前でした。この古い名前は、このリリースでも引き続きサポートされています。今後は新しい名前である-genkeypairを使用することをお薦めします。

• {-alias alias}: 処理するエントリの別名

• [-keypass arg] : キーのパスワード

• {-keyalg alg}: キー・アルゴリズム名

• {-keysize size}: キーのビット・サイズ

• {-keystore keystore}: キーストア名

• [-storepass arg]: キーストアのパスワード

• {-storetype type}: キーストアのタイプ

• {-providername name}: プロバイダ名

• {-providerclass class [providerarg arg]}: オプションで構成引数を指定し、完全修飾クラス名でセキュリティ・プロバイダを追加します。

• {-providerpath list}: プロバイダのクラス・パス

• {-v}: 詳細出力

• {-protected}: 保護されているメカニズムで提供されるパスワード

秘密キーを生成し、それをaliasで特定される新しいKeyStore.SecretKeyEntry内に格納します。

keyalgの値には秘密キーの生成に使用するアルゴリズムを、keysizeの値には生成するキーのサイズを、それぞれ指定します。keypassの値には、秘密キーを保護するパスワードを指定します。パスワードを指定しなかった場合は、ユーザーがその入力を求められます。プロンプトでReturnキーを押すと、キーのパスワードがkeystoreに使用されるものと同じパスワードに設定されます。keypassの値は、6文字以上である必要があります。

• {-alias alias}: 処理するエントリの別名

• [-keypass arg]: キーのパスワード

• {-keyalg alg}: キー・アルゴリズム名

• {-keysize size}: キーのビット・サイズ

• {-keystore keystore}: キーストア名

• [-storepass arg]: キーストアのパスワード

• {-storetype type}: キーストアのタイプ

• {-providername name}: プロバイダ名

• {-providerclass class [-providerarg arg]}: オプションで構成引数を指定し、完全修飾クラス名でセキュリティ・プロバイダを追加します。

• {-providerpath list}: プロバイダのクラス・パス

• {-v}: 詳細出力

• {-protected}: 保護されているメカニズムで提供されるパスワード

パスフレーズをインポートし、それをaliasで特定される新しいKeyStore.SecretKeyEntry内に格納します。パスフレーズは標準入力ストリームを介して入力できますが、そうでない場合はユーザーがその入力を求められます。keypassは、インポートされたパスフレーズを保護するために使用するパスワードです。パスワードを指定しなかった場合は、ユーザーがその入力を求められます。プロンプトでReturnキーを押すと、キーのパスワードがkeystoreに使用されるものと同じパスワードに設定されます。keypassは6文字以上である必要があります。

• {-srckeystore keystore}: ソース・キーストア名

• {-destkeystore keystore}: ターゲット・キーストア名

• {-srcstoretype type}: ソース・キーストアのタイプ

• {-deststoretype type}: ターゲット・キーストアのタイプ

• [-srcstorepass arg]: ソース・キーストアのパスワード

• [-deststorepass arg]: ターゲット・キーストアのパスワード

• {-srcprotected パスワードで保護されるソース・キーストア

• {-srcprovidername name}: ソース・キーストア・プロバイダ名

• {-destprotected}: パスワードで保護されるターゲット・キーストア

• {-destprovidername name}: ターゲット・キーストア・プロバイダ名

• {-srcalias alias}: ソース別名

• {-destalias alias}: ターゲット別名

• [-srckeypass arg]: ソースのキーのパスワード

• [-destkeypass arg]: ターゲットのキーのパスワード

• {-noprompt}: プロンプトを表示しません

• {-providerclass class [-providerarg arg]}: オプションで構成引数を指定し、完全修飾クラス名でセキュリティ・プロバイダを追加します

• {-providerpath list}: プロバイダのクラス・パス

• {-v}: 詳細出力

ソース・キーストアからターゲット・キーストアへ、単一のエントリまたはすべてのエントリをインポートします。

-srcaliasオプションが指定された場合、このコマンドは、その別名で特定される単一のエントリをターゲット・キーストアにインポートします。destalias経由でターゲット別名が指定されなかった場合、srcaliasがターゲット別名として使用されます。ソースのエントリがパスワードで保護されていた場合、srckeypassを使ってそのエントリが回復されます。srckeypassが指定されなかった場合、keytoolコマンドはsrcstorepassを使ってそのエントリを回復しようとします。srcstorepassが指定されなかったか正しくなかった場合は、ユーザーがパスワードの入力を求められます。ターゲット・エントリはdestkeypassによって保護されます。destkeypassが指定されなかった場合、ターゲット・エントリはソース・エントリのパスワードによって保護されます。たとえば、ほとんどのサード・パーティ製ツールでは、PKCS #12キーストアのstorepassとkeypassを同じにする必要があります。これらのツール用のPKCS #12キーストアを作成するには、-destkeypassを常に-deststorepassと同じになるように指定します。

-srcaliasオプションが指定されなかった場合、ソース・キーストア内のすべてのエントリがターゲット・キーストア内にインポートされます。各ターゲット・エントリは対応するソース・エントリの別名の下に格納されます。ソースのエントリがパスワードで保護されていた場合、srcstorepassを使ってそのエントリが回復されます。srcstorepassが指定されなかったか正しくなかった場合は、ユーザーがパスワードの入力を求められます。ソース・キーストア内のあるエントリ・タイプがターゲット・キーストアでサポートされていない場合や、あるエントリをターゲット・キーストアに格納する際にエラーが発生した場合、ユーザーはそのエントリをスキップして処理を続行するか、あるいは処理を中断するかの選択を求められます。ターゲット・エントリはソース・エントリのパスワードによって保護されます。

ターゲット別名がターゲット・キーストア内にすでに存在していた場合、ユーザーは、そのエントリを上書きするか、あるいは異なる別名の下で新しいエントリを作成するかの選択を求められます。

-nopromptオプションを指定した場合、ユーザーは新しいターゲット別名の入力を求められません。既存のエントリはそのターゲット別名で上書きされます。インポートできないエントリはスキップされ、警告が表示されます。

• {-file file}: 入力ファイル名

• {-v}: 詳細出力

keytool -certreqコマンドで生成できるPKCS #10形式の証明書要求の内容を出力します。このコマンドは、ファイルから要求を読み取ります。ファイルが存在しない場合は、標準入力から要求が読み取られます。

• {-alias alias}: 処理するエントリの別名

• {-sigalg alg}: 署名アルゴリズム名

• {-file file}: 出力ファイル名

• [-keypass arg]: キーのパスワード

• {-keystore keystore}: キーストア名

• {-dname name}: 識別名

• [-storepass arg]: キーストアのパスワード

• {-storetype type}: キーストアのタイプ

• {-providername name}: プロバイダ名

• {-providerclass class [-providerarg arg]}: オプションで構成引数を指定し、完全修飾クラス名でセキュリティ・プロバイダを追加します。

• {-providerpath list}: プロバイダのクラス・パス

• {-v}: 詳細出力

• {-protected }: 保護されているメカニズムで提供されるパスワード

PKCS #10形式を使って証明書署名要求(CSR)を生成します。

CSRは、証明書発行局(CA)に送信することを目的としたものです。CAは、証明書要求者を(通常はオフラインで)認証し、証明書または証明書チェーンを送り返します。この証明書または証明書チェーンは、キーストア内の既存の証明書チェーン(最初は1つの自己署名証明書から構成される)に置き換えて使います。

aliasに関連付けられた非公開キーは、PKCS #10証明書要求を作成するのに使われます。秘密キーにアクセスするには、正しいパスワードを指定する必要があります。コマンド行でkeypassを指定しておらず、非公開キーのパスワードがキーストアの整合性を保護するのに使用されるパスワードと異なる場合は、ユーザーが非公開キーのパスワードの入力を求められます。dnameが指定された場合は、CSR内のサブジェクトとして使われます。それ以外の場合は、別名に関連付けられたX.500識別名が使われます。

sigalgの値には、CSRに署名するときに使うアルゴリズムを指定します。

CSRは、certreq_fileファイルに格納されます。ファイルが指定されていない場合は、stdoutにCSRが出力されます。

CAからの応答をインポートするには、importcertコマンドを使います。

• -file crl: 入力ファイル名

• {-v}: 詳細出力

ファイルcrlから証明書失効リスト(CRL)を読み込みます。CRLは、発行元のCAによって取り消されたデジタル証明書のリストです。CAによってcrlファイルが生成されます。

注意: このオプションはキーストアとは関係なく使用できます。

• [-new arg]: 新規パスワード

• {-keystore keystore}: キーストア名

• [-storepass arg]: キーストアのパスワード

• {-storetype type}: キーストアのタイプ

• {-providername name}: プロバイダ名

• {-providerclass class [-providerarg arg]}: オプションで構成引数を指定し、完全修飾クラス名でセキュリティ・プロバイダを追加します。

• {-providerpath list}: プロバイダのクラス・パス

• {-v}: 詳細出力

キーストアの内容の整合性を保護するために使うパスワードを変更します。new_storepassには、新しいパスワードを指定します。これは6文字以上である必要があります。

• {-alias alias}: 処理するエントリの別名

• [-keypass old_keypass]: キーのパスワード

• [-new new_keypass]: 新規パスワード

• {-keystore keystore}: キーストア名

• {-storepass arg}: キーストアのパスワード

• {-storetype type}: キーストアのタイプ

• {-providername name}: プロバイダ名

• {-providerclass class [-providerarg arg]}: オプションで構成引数を指定し、完全修飾クラス名でセキュリティ・プロバイダを追加します。

• {-providerpath list}: プロバイダのクラス・パス

• {-v}: 詳細出力

aliasによって特定される非公開/秘密キーを保護するためのパスワードを、old_keypassからnew_keypassに変更します。これは6文字以上である必要があります。

コマンド行で-keypassオプションを指定しておらず、キーのパスワードがキーストアのパスワードと異なる場合は、キーのパスワードの入力を求められます。

コマンド行で-newオプションを指定しなかった場合は、新しいパスワードの入力を求められます

• [-alias alias]: 処理するエントリの別名

• {-keystore keystore}: キーストア名

• [-storepass arg]: キーストアのパスワード

• {-storetype type}: キーストアのタイプ

• {-providername name}: プロバイダ名

• {-providerclass class [-providerarg arg]}: オプションで構成引数を指定し、完全修飾クラス名でセキュリティ・プロバイダを追加します。

• {-providerpath list}: プロバイダのクラス・パス

• {-v}: 詳細出力

• {-protected}: 保護されているメカニズムで提供されるパスワード

aliasによって特定されるエントリをキーストアから削除します。コマンド行で別名を指定しなかった場合は、別名の入力を求められます。

• {-alias alias}: 処理するエントリの別名

• [-destalias alias]: ターゲット別名

• [-keypass arg]: キーのパスワード

• {-keystore keystore}: キーストア名

• [-storepass arg]: キーストアのパスワード

• {-storetype type}: キーストアのタイプ

• {-providername name}: プロバイダ名

• {-providerclass class [-providerarg arg]}: オプションで構成引数を指定し、完全修飾クラス名でセキュリティ・プロバイダを追加します。

• {-providerpath list}: プロバイダのクラス・パス

• {-v}: 詳細出力

• {-protected}: 保護されているメカニズムで提供されるパスワード

既存のキーストア・エントリを指定されたaliasから新しい別名destaliasに移動します。ターゲット別名が指定されなかった場合、このコマンドはその入力を求めます。元のエントリがエントリ・パスワードで保護されていた場合、-keypassオプションでそのパスワードを指定できます。キーのパスワードが指定されなかった場合、storepass (指定された場合)がまず試みられます。その試みが失敗すると、ユーザーはパスワードの入力を求められます。

基本的なコマンドとそのオプションの一覧を表示します。

特定のコマンドの詳細を表示するには、次を入力します。command_nameはコマンドの名前です。keytool -command_name -help

キーストアは、暗号化のキーと証明書を格納するための機能です。

証明書(または公開キー証明書)とは、あるエンティティ(発行者)からのデジタル署名付きの文書のことです。証明書には、他のあるエンティティ(サブジェクト)の公開キーおよびその他の情報が特定の値を持っていることが書かれています。証明書に関連する用語は次のとおりです。

公開キー: 特定のエンティティに関連付けられた数値であり、そのエンティティとの間に信頼できる関係を持つ必要があるすべての人に対して公開することを意図したものです。公開キーは、署名を検証するのに使われます。

デジタル署名: データがデジタル署名されると、そのデータは、エンティティのアイデンティティと、そのエンティティがデータの内容について知っていることを証明する署名とともに格納されます。エンティティの非公開キーを使ってデータに署名を付けると、データの偽造は不可能になります。

アイデンティティ: エンティティを特定するための既知の方法です。システムによっては、公開キーをアイデンティティにするものがあります。他にも、Oracle Solaris UIDや電子メール・アドレス、X.509識別名など、様々なものをアイデンティティにすることが可能です。

署名: 署名は、エンティティの非公開キーを使い、あるデータに対して計算されるものです。署名者は、証明書の場合は発行者とも呼ばれます。

非公開キー: 特定のエンティティのみが知っているはずの数値であり、その数値がそのエンティティの非公開キーになります(つまり、秘密にしておく必要があります)。非公開キーと公開キーは、すべての公開キー暗号化システムで対になって存在しています。DSAなどの典型的な公開キー暗号化システムの場合、1つの非公開キーは厳密に1つの公開キーに対応します。非公開キーは、署名を計算するのに使われます。

エンティティ: エンティティは、人、組織、プログラム、コンピュータ、企業、銀行など、一定の度合いで信頼の対象となる様々なものを指します。

公開キー暗号化では、ユーザーの公開キーにアクセスする必要があります。大規模なネットワーク環境では、互いに通信しているエンティティ間で以前の関係が確立されたことや、使われているすべての公開キーを収めた信頼できるリポジトリが存在することは保証できません。このような公開キーの配布に関する問題を解決するために証明書が考案されました。現在では、証明書発行局(CA)が信頼できる第三者として機能します。CAは、他のエンティティの証明書に署名(発行)することを信頼して任されている企業などのエンティティです。CAは法律上の契約に拘束されるので、有効かつ信頼できる証明書のみを作成するものとして扱われます。VeriSign、Thawte、Entrustなど、多くの公開証明書発行局が存在します。

Microsoftの認証サーバーやEntrustのCA製品などを所属組織内で利用すれば、独自の証明書発行局を運営することも可能です。keytoolコマンドを使って、証明書の表示、インポートおよびエクスポートができます。また、自己署名証明書を生成することもできます。

現在、keytoolコマンドはX.509証明書を対象にしています。

cacertsという証明書ファイルは、セキュリティ・プロパティ・ディレクトリ(Windowsではjava.home\lib\security、Oracle Solarisではjava.home/lib/security)に置かれています。java.homeは、実行環境のディレクトリ(SDKのjreディレクトリまたはJREの最上位のディレクトリ)です。

cacertsファイルは、CAの証明書を含むシステム全体のキーストアを表します。システム管理者は、キーストア・タイプにjksを指定することで、keytoolコマンドを使ってこのファイルの構成と管理を行うことができます。cacertsキーストア・ファイルは、一連のデフォルトのルートCA証明書を含んだ状態で出荷されています。デフォルトの証明書を一覧表示するには、次のコマンドを使用します。

keytool -list -keystore java.home/lib/security/cacerts

cacertsキーストア・ファイルの初期パスワードは、changeitです。システム管理者は、SDKのインストール後、このファイルのパスワードとデフォルト・アクセス権を変更する必要があります。

注意: cacertsファイルを検証することは重要です。cacertsファイル内のCAは、証明書の署名や他のエンティティへの発行を行うエンティティとして信頼されるため、cacertsファイルの管理は慎重に行う必要があります。cacertsファイルには、信頼するCAの証明書のみが含まれている必要があります。ユーザーは、自身の責任で、cacertsファイルにバンドルされている信頼できるルートCA証明書を検証し、信頼性に関する独自の決定を行います。

信頼できないCA証明書をcacertsファイルから削除するには、keytoolコマンドのdeleteオプションを使用します。cacertsファイルはJREのインストール・ディレクトリにあります。このファイルを編集するアクセス権がない場合は、システム管理者に連絡してください

多くの場合、証明書は、バイナリ符号化ではなく、インターネットRFC 1421規格で定義されている出力可能符号化方式を使って格納されます。Base64エンコードとも呼ばれるこの証明書形式では、電子メールやその他のメカニズムを通じて、他のアプリケーションに証明書を容易にエクスポートできます。

-importcertコマンドと-printcertコマンドでは、この形式の証明書とバイナリ符号化の証明書を読み込むことができます。-exportcertコマンドでは、デフォルトでバイナリ・エンコードの証明書が出力されます。ただし、-rfcオプションを指定した場合は、出力可能エンコード形式の証明書が出力されます。

-listコマンドでは、デフォルトで証明書のSHA1フィンガプリントが出力されます。-vオプションを指定すると、人間が読むことのできる形式で証明書が出力されます。-rfcオプションを指定すると、出力可能エンコード形式で証明書が出力されます。

出力可能エンコード形式でエンコードされた証明書の先頭と末尾は、次のテキストで指定されます。

-----BEGIN CERTIFICATE-----

encoded certificate goes here. 

-----END CERTIFICATE-----

X.500識別名は、エンティティを特定するために使われます。たとえば、X.509証明書のsubjectフィールドとissuer (署名者)フィールドで指定される名前は、X.500識別名です。keytoolコマンドは、次のサブパートをサポートしています。

commonName - 人の共通名(Susan Jonesなど)。

organizationUnit: 小さな組織(部、課など)の名称。たとえば、Purchasing(仕入部)など。

localityName: 地域(都市)名(Palo Altoなど)。

stateName: 州名または地方名(Californiaなど)。

country: 2文字の国コード(CHなど)。

(-genkeypairコマンドなどの)-dnameオプションの値として識別名文字列を指定する場合は、次の形式で文字列を指定する必要があります。

CN=cName, OU=orgUnit, O=org, L=city, S=state, C=countryCode

イタリック体の項目は、実際に指定する値を表します。前述のキーワードは、次の短縮形です。

CN=commonName
OU=organizationUnit
O=organizationName
L=localityName
S=stateName
C=country

識別名文字列の例を次に示します。

CN=Mark Smith, OU=Java, O=Oracle, L=Cupertino, S=California, C=US

このような文字列を使ったコマンドの例を次に示します。

keytool -genkeypair -dname "CN=Mark Smith, OU=Java, O=Oracle, L=Cupertino,
S=California, C=US" -alias mark

キーワードの短縮形では、大文字と小文字は区別されません。たとえば、CN、cnおよびCnはどれも同じものとして扱われます。

一方、キーワードの指定順序には意味があり、各サブコンポーネントは上に示した順序で指定する必要があります。ただし、サブコンポーネントをすべて指定する必要はありません。たとえば、次のように一部のみを指定できます。

CN=Steve Meier, OU=Java, O=Oracle, C=US

識別名文字列の値にカンマが含まれる場合に、コマンド行で文字列を指定するときには、次のようにカンマをバックスラッシュ(\)文字でエスケープする必要があります。

cn=Peter Schuster, ou=Java\, Product Development, o=Oracle, c=US

識別名文字列をコマンド行で指定する必要はありません。識別名を必要とするコマンドを実行するときに、コマンド行で識別名を指定しなかった場合は、ユーザーが各サブコンポーネントについて入力を求められます。この場合は、カンマをバックスラッシュ(\)でエスケープする必要はありません。