286

我了解密钥库通常会保存私钥/公钥,而信任存储仅公钥(并代表您打算与之通信的受信任方的列表)。好吧,这是我的第一个假设,所以如果这不正确,我可能还没有很好地开始......

不过,我有兴趣了解使用 keytool 时如何/何时区分商店。

所以,到目前为止,我已经使用

keytool -import -alias bob -file bob.crt -keystore keystore.ks

它创建了我的 keystore.ks 文件。我回答yes了我是否信任 bob 的问题,但我不清楚这是否创建了密钥库文件或信任库文件?我可以将我的应用程序设置为使用该文件。

-Djavax.net.ssl.keyStore=keystore.ks -Djavax.net.ssl.keyStorePassword=x
-Djavax.net.ssl.trustStore=keystore.ks -Djavax.net.ssl.trustStorePassword=x

并且使用System.setProperty( "javax.net.debug", "ssl")set,我可以在受信任的证书下看到证书(但不在密钥库部分下)。我要导入的特定证书只有一个公钥,我打算用它通过 SSL 连接向 Bob 发送东西(但也许最好留给另一个问题!)。

任何指示或澄清将不胜感激。无论您导入什么,keytool 的输出是否都相同,并且只是约定一个是密钥库,另一个是信任库?使用 SSL 等时有什么关系?

4

6 回答 6

392

该术语确实有点令人困惑,但两者javax.net.ssl.keyStorejavax.net.ssl.trustStore都用于指定要使用的密钥库,用于两种不同的目的。密钥库有多种格式,甚至不一定是文件(参见这个问题),keytool它只是对它们执行各种操作的工具(导入/导出/列表/...)。

javax.net.ssl.keyStorejavax.net.ssl.trustStore参数是用于构建KeyManagers 和s (分别)的默认参数TrustManager,然后用于构建一个SSLContext基本上包含 SSL/TLS 设置的 SSL/TLS 设置,以便在通过 anSSLSocketFactory或 an建立 SSL/TLS 连接时使用SSLEngine。这些系统属性只是默认值的来源,然后由使用,例如SSLContext.getDefault()本身使用。SSLSocketFactory.getDefault()(如果您不想将默认值和特定SSLContext的 s 用于给定目的,所有这些都可以通过 API 在许多地方进行自定义。)

KeyManagerand之间的区别TrustManager(以及 and之间javax.net.ssl.keyStore的区别javax.net.ssl.trustStore)如下(引自JSSE ref guide):

TrustManager:确定远程身份验证凭据(以及连接)是否应该被信任。

KeyManager:确定要发送到远程主机的身份验证凭据。

(其他参数可用,其默认值在JSSE 参考指南中进行了描述。请注意,虽然信任库有默认值,但密钥库没有默认值。)

本质上,keystore injavax.net.ssl.keyStore用于包含您的私钥和证书,而javax.net.ssl.trustStore用于包含当远程方提供其证书时您愿意信任的 CA 证书。在某些情况下,它们可以是同一个存储,尽管使用不同的存储通常是更好的做法(尤其是当它们基于文件时)。

于 2011-06-14T09:26:22.277 回答
106

以常见的用例/目的或外行方式解释:

TrustStore:用于存储受信任实体的证书 。一个进程可以维护它信任的所有受信任方的证书存储。

keyStore:用于存储服务器密钥(公共和私有)以及签名证书。

在 SSL 握手期间,

  1. 客户端尝试访问 https://

  2. 因此,服务器通过提供 SSL 证书(存储在其 keyStore 中)来响应

  3. 现在,客户端收到 SSL 证书并通过 trustStore 验证它(即客户端的 trustStore 已经有预定义的一组它信任的证书。)。就像:我可以信任这台服务器吗?这是我要与之交谈的同一服务器吗?没有中间人攻击?

  4. 一旦,客户端验证它正在与它信任的服务器通信,那么 SSL 通信就可以通过共享密钥进行。

注意:我在这里不是在谈论有关服务器端客户端身份验证的任何内容。如果服务器也想进行客户端身份验证,那么服务器还维护一个 trustStore 来验证客户端。然后它变成双向 TLS。

于 2018-02-16T19:12:23.880 回答
27

密钥库和信任库文件之间没有区别。两者都是专有 JKS 文件格式的文件。区别在于使用:据我所知,Java 在创建 SSL 连接时只会使用-Djavax.net.ssl.trustStore系统属性引用的存储来查找要信任的证书。键和-Djavax.net.ssl.keyStore. 但理论上,对信任库和密钥库使用同一个文件是可以的。

于 2011-06-14T08:35:27.443 回答
25

Keystore 是服务器用来存储私钥的,Truststore 是第三方客户端用来存储服务器提供的用来访问的公钥的。我已经在我的生产应用程序中做到了这一点。以下是为 SSL 通信生成 Java 证书的步骤:

  1. 在 windows 中使用 keygen 命令生成证书:

keytool -genkey -keystore server.keystore -alias mycert -keyalg RSA -keysize 2048 -validity 3950

  1. 自我认证证书:

keytool -selfcert -alias mycert -keystore server.keystore -validity 3950

  1. 将证书导出到文件夹:

keytool -export -alias mycert -keystore server.keystore -rfc -file mycert.cer

  1. 将证书导入客户端信任库:

keytool -importcert -alias mycert -file mycert.cer -keystore truststore

于 2016-12-22T10:10:01.283 回答
0

这些是使用 Keytool 在本地计算机中创建信任库的步骤。在本地计算机中为 URL 创建信任库的步骤。

1)使用chrome在浏览器中点击url

2) 检查chrome 中 url 左侧的“i”图标并单击它

3)检查证书选项并单击它,将打开一个对话框

4) 检查“证书路径”选项卡中可用于创建信任库的证书数量

5)去"details" tab -> click"Copy to File" -> Give the path and the name for the certificate你想创建的。

6) 检查它是否有父证书并按照“5”点操作。

7) 创建所有证书后,打开命令提示符并导航到您创建证书的路径。

8) 提供以下 Keytool 命令以添加证书并创建信任库。

Sample: 
   keytool -import -alias abcdefg -file abcdefg.cer -keystore cacerts
        where "abcdefg" is the alias name and "abcdefg.cer" is the actual certificate name and "cacerts" is the truststore name

9) 为所有证书提供 keytool 命令并将它们添加到信任库。

    keytool -list -v -keystore cacerts
于 2019-10-24T04:57:56.753 回答
-2

keystore 只存储私钥,而 truststore 存储公钥。您需要为 SSL 通信生成一个 java 证书。您可以在 Windows 中使用 keygen 命令,这可能是最简单的解决方案。

于 2017-12-19T13:58:07.703 回答