java SSL et cert keystore

Comment mon programme Java sait-il où se trouve mon keystore contenant le certificat? Ou comment dire à mon programme Java où chercher le keystore?

Après avoir spécifié le keystore d'une manière ou d'une autre, comment spécifier le certificat à utiliser pour authentifier le serveur auprès du client?

System.setProperty("javax.net.ssl.trustStore", path_to_your_jks_file);

Les propriétés SSL sont définies au niveau JVM via les propriétés système. Cela signifie que vous pouvez soit les définir lorsque vous exécutez le programme (java -D ....), soit les définir dans le code en faisant System.setProperty.

Les clés spécifiques que vous devez définir sont ci-dessous:

javax.net.ssl.keyStore - Emplacement du fichier de keystore Java contenant le certificat et la clé privée d'un processus d'application. Sous Windows, le chemin spécifié doit utiliser des barres obliques, /, à la place des barres obliques inverses.

javax.net.ssl.keyStorePassword - Mot de passe pour accéder à la clé privée à partir du fichier keystore spécifié par javax.net.ssl.keyStore. Ce mot de passe est utilisé deux fois: pour déverrouiller le fichier keystore (mot de passe de stockage) et pour déchiffrer la clé privée stockée dans le keystore (mot de passe clé).

javax.net.ssl.trustStore - Emplacement du fichier de keystore Java contenant la collection de certificats CA approuvés par ce processus d'application (trust store). Sous Windows, le chemin spécifié doit utiliser des barres obliques vers l' avant, /à la place de antislashs, \.

Si un emplacement de magasin de clés de confiance n'est pas spécifié à l'aide de cette propriété, l'implémentation SunJSSE recherche et utilise un fichier de clés aux emplacements suivants (dans l'ordre):

1. $JAVA_HOME/lib/security/jssecacerts
2. $JAVA_HOME/lib/security/cacerts

javax.net.ssl.trustStorePassword - Mot de passe pour déverrouiller le fichier de clés (mot de passe du magasin) spécifié par javax.net.ssl.trustStore.

javax.net.ssl.trustStoreType - (Facultatif) Pour le format de fichier de keystore Java, cette propriété a la valeur jks (ou JKS). Vous ne spécifiez normalement pas cette propriété, car sa valeur par défaut est déjà jks.

javax.net.debug - Pour activer la journalisation pour la couche SSL / TLS, définissez cette propriété sur ssl.

Juste un mot d'avertissement. Si vous essayez d'ouvrir un keystore JKS existant à partir de Java 9, vous devez vous assurer de mentionner également les propriétés suivantes avec la valeur "JKS":

javax.net.ssl.keyStoreType
javax.net.ssl.trustStoreType

La raison étant que le type de keystore par défaut tel que prescrit dans le fichier java.security a été changé en pkcs12 à partir de jks à partir de Java 9.

Tout d'abord, il existe deux types de keystores.

Individuel et général

L'application utilisera celui indiqué au démarrage ou celui par défaut du système.

Ce sera un dossier différent si JRE ou JDK est en cours d'exécution, ou si vous cochez le dossier personnel ou "global".

Ils sont également cryptés

En bref, le chemin sera comme:

$JAVA_HOME/lib/security/cacerts pour le "général", qui a tout le CA pour les autorités et est assez important.

vous pouvez également mentionner le chemin au moment de l'exécution en utilisant les -Dpropriétés comme ci-dessous

-Djavax.net.ssl.trustStore=/home/user/SSL/my-cacerts 
-Djavax.net.ssl.keyStore=/home/user/SSL/server_keystore.jks

Dans mon application apache spark, j'avais l'habitude de fournir le chemin des certificats et du keystore en utilisant l' --confoption et extraJavaoptionsdans spark-submit comme ci-dessous

--conf 'spark.driver.extraJavaOptions= 
-Djavax.net.ssl.trustStore=/home/user/SSL/my-cacerts 
-Djavax.net.ssl.keyStore=/home/user/SSL/server_keystore.jks'