Java SSL und Cert Keystore

Woher weiß mein Java-Programm, wo sich mein Keystore mit dem Zertifikat befindet? Oder wie kann ich meinem Java-Programm mitteilen, wo nach dem Keystore gesucht werden soll?

Wie kann nach Angabe des Schlüsselspeichers das Zertifikat angegeben werden, das zur Authentifizierung des Servers gegenüber dem Client verwendet werden soll?

System.setProperty("javax.net.ssl.trustStore", path_to_your_jks_file);

SSL-Eigenschaften werden auf JVM-Ebene über Systemeigenschaften festgelegt. Das heißt, Sie können sie entweder festlegen, wenn Sie das Programm ausführen (java -D ....), oder Sie können sie in Code festlegen, indem Sie System.setProperty ausführen.

Die spezifischen Schlüssel, die Sie einstellen müssen, sind unten:

javax.net.ssl.keyStore - Speicherort der Java-Keystore-Datei, die das Zertifikat und den privaten Schlüssel eines Anwendungsprozesses enthält. Unter Windows muss der angegebene Pfadname anstelle von umgekehrten Schrägstrichen / Schrägstriche / verwenden.

javax.net.ssl.keyStorePassword - Kennwort für den Zugriff auf den privaten Schlüssel aus der von javax.net.ssl.keyStore angegebenen Keystore-Datei. Dieses Kennwort wird zweimal verwendet: Zum Entsperren der Keystore-Datei (Speicherkennwort) und zum Entschlüsseln des im Schlüsselspeicher gespeicherten privaten Schlüssels (Schlüsselkennwort).

javax.net.ssl.trustStore - Speicherort der Java-Keystore-Datei, die die Sammlung von CA-Zertifikaten enthält, denen dieser Anwendungsprozess vertraut (Trust Store). Unter Windows muss der angegebene Pfadname Schrägstriche /anstelle von Schrägstrichen verwenden \.

Wenn mit dieser Eigenschaft kein Trust Store-Speicherort angegeben wird, sucht und verwendet die SunJSSE-Implementierung eine Keystore-Datei an den folgenden Speicherorten (in der angegebenen Reihenfolge):

1. $JAVA_HOME/lib/security/jssecacerts
2. $JAVA_HOME/lib/security/cacerts

javax.net.ssl.trustStorePassword - Kennwort zum Entsperren der von angegebenen Speicherartendatei (Speicherkennwort) javax.net.ssl.trustStore.

javax.net.ssl.trustStoreType - (Optional) Für das Java-Keystore-Dateiformat hat diese Eigenschaft den Wert jks (oder JKS). Normalerweise geben Sie diese Eigenschaft nicht an, da der Standardwert bereits jks ist.

javax.net.debug - Um die Protokollierung für die SSL / TLS-Schicht zu aktivieren, setzen Sie diese Eigenschaft auf ssl.

Nur ein Wort der Vorsicht. Wenn Sie versuchen, einen vorhandenen JKS-Keystore ab Java 9 zu öffnen, müssen Sie auch die folgenden Eigenschaften mit dem Wert "JKS" angeben:

javax.net.ssl.keyStoreType
javax.net.ssl.trustStoreType

Der Grund dafür ist, dass der in der Datei java.security vorgeschriebene Standard-Keystore-Typ von jks ab Java 9 in pkcs12 geändert wurde.

Zunächst gibt es zwei Arten von Keystores.

Individuell und allgemein

Die Anwendung verwendet die beim Start angegebene oder die Standardeinstellung des Systems.

Es wird ein anderer Ordner sein, wenn JRE oder JDK ausgeführt wird oder wenn Sie den persönlichen oder den "globalen" Ordner überprüfen.

Sie sind auch verschlüsselt

Kurz gesagt, der Pfad wird wie folgt aussehen:

$JAVA_HOME/lib/security/cacerts für den "allgemeinen", der alle CA für die Behörden hat und ziemlich wichtig ist.

Sie können den Pfad auch zur Laufzeit mithilfe der folgenden -DEigenschaften angeben

-Djavax.net.ssl.trustStore=/home/user/SSL/my-cacerts 
-Djavax.net.ssl.keyStore=/home/user/SSL/server_keystore.jks

In meiner Apache-Spark-Anwendung habe ich den Pfad von Zertifikaten und Keystore mithilfe der --confOption und extraJavaoptionsin Spark- Submit wie unten angegeben angegeben

--conf 'spark.driver.extraJavaOptions= 
-Djavax.net.ssl.trustStore=/home/user/SSL/my-cacerts 
-Djavax.net.ssl.keyStore=/home/user/SSL/server_keystore.jks'