Kulcstárát a java

Mi az a Java Kulcstároló?

Kulcstárát tárolására használt saját kulcsot és tanúsítványt szerver vagy kliens.

A kliens és a szerver hitelesítés SSL kapcsolatot igényel privát kulcsokat és tanúsítványokat. Ha egyirányú hitelesítést, kulcstároló csak akkor szükséges a szerver oldalon. Ha a kölcsönös hitelesítést és a kliens és a szerver csere bizonyítványok, illetve a kiszolgáló és a kliens kell kulcstárát egy pár privát kulcs / nyilvános kulcs + tanúsítványt.

Ie más szóval Kulcstároló tárolására alkalmas kulcsok és tanúsítványok, azonosításához használt kulcs tulajdonosa (kliens vagy szerver).

Trust Store

A második típusú kulcstár tárolására használt megbízható tanúsítványokat. Ez tette a kulcsokat megbízható tanúsítványt hatóságok CA. Ha saját aláírású tanúsítvány a megbízható bolt tehet maga önmaga által aláírt tanúsítványt. Ez is egy kulcstárát, de Java hívják egy megbízható bolt.

Által támogatott formátumokat Java Kulcstároló

így a fent leírt módon, kulcstároló - konténer tárolására alkalmas kulcsok és tanúsítványok. Java támogatja a két kulcstárát méret:

• JKS (Java Key Store) - Java formátumban
• PKCS12 - ez egy olyan ipari szabvány

Írja be a kulcstárát, az alapértelmezett, megadva a Java biztonsági tulajdonságok fájlt keystore.type tulajdon. Ha az alkalmazás kapcsolódik kulcstárba fájlt anélkül, hogy kifejezetten meghatározza annak típusát, használt JKS formátumban. Java biztonsági tulajdonságok fájl található a lib könyvtárban a telepítési könyvtárban a Java útközben: /lib/security/java.security

Együttműködik a java kulcstárát eloszlásban speciális segédprogramot keytool. Keytool elég műveleteket a kulcsokat a Java. Azonban a formátum JKS propietarnym és zárt. Ezért gyakran különböző átalakítások és kölcsönhatásba lépnek a külső fejlesztők is használható közművek mellékelt OpenSSL könyvtár.

Azokban az esetekben, ahol azt tervezi, hogy használja kulcsokat csak Java kulcstárhoz JKS méret rendben van.

Kulcstárát (legalábbis JKS formátumban) képes tárolni több pár kulcsok és tanúsítványok. Az azonosításhoz az egyes pár vagy használt tanúsítvány alias. Alias ​​meghatározott forráskódját hozzáférést biztosít a megfelelő kulcsot vagy a tanúsítványt. Hozzáférés minden alias korlátozza jelszót.

Létrehozása kulcstárolókkal

Ennek folyamatát a kulcstárát (JKS vagy PKS12) előállításakor egy pár kulcsot (állami és magán). Ezután fogadunk Certificate Authority (CA), hogy aláírja a nyilvános kulcsot és a hozzá tartozó azonosító információkat a tanúsítvány formájában. Hitelesítésszolgáltató generálja alapján a bizonyítványt egy nyilvános kulcsot és azonosító adatait továbbítják azt egy CSR.

Wikipedia azt mondja, hogy a CA igazolást állít ki, amely megköti a nyilvános kulcsot a megadott megkülönböztetett név (ez lehet egy host nevet (hostname, felhasználónév vagy a nevét az alkalmazás), hogy hozzon létre kulcstárolókkal Steps jelenti a felhasználó vagy a fogadó alkalmazás a következők .:

1) kulcspárjának (nyilvános / titkos kulcs)

A java generálása során a kulcspár használatával keytool azonnal hozzon létre egy önálló saját aláírású tanúsítvány, amely azonnal használható tesztelésre. A következő lépés, így csak egyszer kell létrehozni egy teljes értékű bizonyítvány.

2) létrehozása iránti kérelem a tanúsítvány (Certificate aláírási kérelem (CSR)).

3) Szerezd meg a CSR által aláírt egy megbízható CA (kimenő e a bizonyítvány)

4) Importigazolás, CA tett a kulcs tárolására.

5) importálása CA tanúsítványt az kulcsadatbázis mint egy megbízható tanúsítványt

Java alapértelmezett Kulcstároló

Web szerver vagy alkalmazás használható mondani Java kulcstároló fájl megadott telepítési tulajdonságok javax.net.ssl.keyStore. (Az útvonal a kulcstároló fájl). Ha a kérelem nem határozza kulcstáradat ingatlan, akkor indítja el az alapértelmezett kulcstároló. Kulcstárát alapértelmezés szerint tárolt .keystore fájlt a felhasználó saját könyvtára pedig a rendszer határozza meg user.home tulajdon.

Java alapértelmezett kulcsadatbázis

Az alkalmazás meghatározhatja, hogy egy meghatározott Java kulcsadatbázis telepítés tulajdonságok javax.net.ssl.trustStore. Ha a kérelem nem határozza meg egyértelműen kulcsadatbázis, akkor az alapértelmezett kulcsadatbázis betöltődik és használható. Az alapértelmezett java kulcsadatbázis található alapértelmezés szerint a / lib / security / cacerts és jelszóval: „changeit”. kulcsadatbázis fájlok - a szokásos kulcstároló fájlt, ami egy vagy több megbízható CA tanúsítvány (Certificate hatóságok).

Hogy megkönnyítse a létrehozását és kezelését kulcstároló fájlok Java eloszlás olyan segédprogramot tartalmaz keytool, amely lehetővé teszi, hogy hozzon létre JKS fájlokat. Keytool kezelheti tanúsítványokat és személyes kulcsokat párok számára.

Opció -genkey, keytool generál egy pár új nyilvános / titkos kulcs, és létrehoz egy saját aláírású tanúsítványt a nyilvános kulccsal.

A tanúsítvány jön létre a X.509 formátum. Ebben a formában, ahogy a tulajdonos a használt azonosító kitüntetett neve, vagy egyszerűen csak a DN X.500 formátum. Pontosan ugyanaz a tárgy azonosítását formátumot használnak, például az LDAP-jegyzőkönyv vagy SNMP. Kiemelten neve úgy definiáljuk, mint egy vesszővel elválasztott attribútumok: «CN = Andrey Chesnokov, OU = dev64, O = dev64-wordpress, L = Ismeretlen, ST = Ismeretlen, C = RU». Itt az egyes attribútumok vannak dekódolva az alábbiak szerint:

• CN - köznapi nevén tulajdonos neve
• OU - organizationUnit (például, szervezeti egység) szervezeti egység
• O - Szervezetnév - nagy szervezet neve, például «ABCSystems, Inc.»
• L - localityName - helység (város) neve, például «Palo Alto» Helyszín (város)
• ST - statename - állam vagy tartomány nevét, például «California»
• C - ország - kétbetűs országkód, például «CH»

Néhány attribútum elhagyható ebben az esetben úgy van beállítva, hogy ismert. Létrehozásakor teszt kulcstárát, bármilyen értéket lehet. Ha hivatalos tanúsítványt kapnak adatokat szabályozott és ellenőrzött Certificate Authority szervezet.

Belül minden bizonyítvány tárolt X.509 pár Distinqueshed nevek (DN) formátumban, egy DN tartozik a bizonyítvány tulajdonosa, és a második jelzi a DN CA azonosítót, aláírta a tanúsítványt. Abban az esetben, egy saját maga által aláírt tanúsítvány, mind DN jelzi a tanúsítvány tulajdonosa.

Kiemelten Név megadása a keytool -dname opciót. Ha rnev opció nincs megadva, akkor keytool kérni fogja az összes szükséges mezőt a parancssorból.

Ez az opció határozza meg a nevét, a kulcstároló kulcstároló fájl. Ha hiányzik, akkor keytool létrehoz egy fájlt nevű .keystore a felhasználó home könyvtárában.

Hozzáférés a kulcstároló van jelszóval védett. Ennek -keypass beállítás megadja a jelszót a kulcstár egészére. Ezt a jelszót kell olvasni vagy módosítani kulcstárát lehetőségeket.

A második jelszó, mint már említettük, eléréséhez szükséges egy adott alias a kulcstárát. Ez a második jelszó jelzi -keypass opciót.

így egyetlen paranccsal fordul kulcstárát egy pár kulcsokat és tanúsítványokat, kulcstároló, hogy vegye, és tegye meg a megfelelő könyvtárat a program. De ez egy másik történet.

Akkor feltétlenül nézze meg a hivatalos dokumentáció keytool, tartalmaz egy csomó hasznos információt.

A parancsok dolgozó igazolások:

Kapcsolódó cikkek

• Basics Java Keytool dolgozni java kulcstárát

• Bővülő kulcstároló fájl - fájl kiterjesztését kulcstárát - egyszerű ajánlások, hogyan kell megnyitni a kulcstároló fájl

• Mi a Java kezdi a tanulást egy programozási nyelv java - goldy-nő - nők oldalon