keystore java SSL e cert

Come fa il mio programma Java a sapere dove si trova il mio keystore contenente il certificato? O in alternativa come posso dire al mio programma Java dove cercare il keystore?

Dopo aver specificato il keystore in qualche modo, come specificare il certificato da utilizzare per autenticare il server sul client?

System.setProperty("javax.net.ssl.trustStore", path_to_your_jks_file);

Le proprietà SSL sono impostate a livello JVM tramite le proprietà di sistema. Ciò significa che è possibile impostarli quando si esegue il programma (java -D ....) oppure è possibile impostarli nel codice facendo System.setProperty.

I tasti specifici che devi impostare sono di seguito:

javax.net.ssl.keyStore - Posizione del file del keystore Java contenente il certificato e la chiave privata di un processo dell'applicazione. Su Windows, il percorso specificato deve utilizzare le barre rovesciate, /, al posto delle barre rovesciate.

javax.net.ssl.keyStorePassword : password per accedere alla chiave privata dal file di archivio chiavi specificato da javax.net.ssl.keyStore. Questa password viene utilizzata due volte: per sbloccare il file keystore (password di archivio) e per decrittografare la chiave privata memorizzata nel keystore (password chiave).

javax.net.ssl.trustStore - Posizione del file del keystore Java contenente la raccolta di certificati CA ritenuti attendibili da questo processo dell'applicazione (truststore). In Windows, il percorso specificato deve utilizzare slash, /al posto del backslash, \.

Se non viene specificato un percorso del truststore mediante questa proprietà, l'implementazione SunJSSE cerca e utilizza un file keystore nei seguenti percorsi (in ordine):

1. $JAVA_HOME/lib/security/jssecacerts
2. $JAVA_HOME/lib/security/cacerts

javax.net.ssl.trustStorePassword - Password per sbloccare il file di archivio chiavi (password dell'archivio ) specificato da javax.net.ssl.trustStore.

javax.net.ssl.trustStoreType - (Facoltativo) Per il formato file del keystore Java, questa proprietà ha il valore jks (o JKS). Normalmente non si specifica questa proprietà, poiché il suo valore predefinito è già jks.

javax.net.debug - Per attivare la registrazione per il livello SSL / TLS, impostare questa proprietà su ssl.

Solo una parola di cautela. Se si sta tentando di aprire un keystore JKS esistente in Java 9 in poi, è necessario assicurarsi di menzionare anche le seguenti proprietà con valore come "JKS":

javax.net.ssl.keyStoreType
javax.net.ssl.trustStoreType

Il motivo è che il tipo di archivio chiavi predefinito come prescritto nel file java.security è stato modificato in pkcs12 da jks da Java 9 in poi.

Prima di tutto, ci sono due tipi di keystore.

Individuale e generale

L'applicazione utilizzerà quella indicata all'avvio o l'impostazione predefinita del sistema.

Sarà una cartella diversa se JRE o JDK sono in esecuzione o se si controlla quello personale o "globale".

Anche loro sono criptati

In breve, il percorso sarà come:

$JAVA_HOME/lib/security/cacerts per il "generale", che ha tutta la CA per le autorità ed è abbastanza importante.

puoi anche menzionare il percorso in fase di esecuzione usando le -Dproprietà come di seguito

-Djavax.net.ssl.trustStore=/home/user/SSL/my-cacerts 
-Djavax.net.ssl.keyStore=/home/user/SSL/server_keystore.jks

Nella mia applicazione apache spark, fornivo il percorso di certs e keystore usando l' --confopzione e extraJavaoptionsin spark-submit come di seguito

--conf 'spark.driver.extraJavaOptions= 
-Djavax.net.ssl.trustStore=/home/user/SSL/my-cacerts 
-Djavax.net.ssl.keyStore=/home/user/SSL/server_keystore.jks'