keytool -genkeyを使用すると，キーストアの中に公開鍵と秘密鍵のペア，および自己署名証明書を生成できます。

keytool -genkeyで生成した公開鍵は，自己署名証明書でラップされます。自己署名証明書は，署名の発行者と署名によって認証される公開鍵を所有するエンティティが同じなので，証明書としての信頼度は低くなります。

通信相手との取り決めなどによって，自己署名証明書で運用できる場合は，keytool -exportで指定の公開鍵を含む自己署名証明書を出力します。出力した自己署名証明書を通信相手に配布します。また，keytool -importを使用すれば，出力した自己署名証明書を別のキーストアに読み込むこともできます。

自己署名証明書よりも信頼性の高い証明書が必要な場合は，民間組織が運営する認証局などから証明書を取得する必要があります。

注意

キーストアは，鍵および証明書のリポジトリを管理するためのデータベースです。多くの証明書を管理したり，CRLを管理したりするためには使用できません。

自己署名証明書ではなく，信頼できる認証局が発行する証明書が必要な場合は，keytool -certreqを使用して証明書の発行に必要な証明書署名要求（CSR）を生成します。証明書の発行を要求すると，認証局は証明書応答を作成します。ユーザーは，keytool -importを使用して認証局から証明書応答をインポートし，自己証明書を証明書連鎖に置き換えます。