Trust Store vs Magasin de Clés - création avec keytool

Je comprends que le fichier de clés serait généralement privée/clé publique et la confiance stocker uniquement les clés publiques (et correspond à la liste des tiers de confiance que vous avez l'intention de communiquer avec). Eh bien, c'est ma première hypothèse, si ce n'est pas correct, je n'ai pas très bien...

J'étais intéressé, mais à comprendre comment /quand vous distinguer les magasins lors de l'utilisation de keytool.

Donc, à présent, j'ai créé un fichier de clés à l'aide de

keytool -import -alias bob -file bob.crt -keystore keystore.ks

qui crée mon fichier de clés.ks fichier. Je réponds yes à la question dois-je faire confiance à bob, mais il est clair pour moi si cela a créé un fichier de magasin de clés ou un fichier truststore? Je peux configurer mon application pour utiliser le fichier en tant que.

-Djavax.net.ssl.keyStore=keystore.ks -Djavax.net.ssl.keyStorePassword=x
-Djavax.net.ssl.trustStore=keystore.ks -Djavax.net.ssl.trustStorePassword=x

et avec System.setProperty( "javax.net.debug", "ssl") ensemble, je peux voir le certificat de confiance certifications (mais pas dans le fichier de stockage des clés de la section). Le certificat en particulier, je suis à l'importation a qu'une clé publique et j'ai l'intention de l'utiliser pour envoyer des trucs sur une connexion SSL à Bob (mais peut-être qu'il vaut mieux laisser pour une autre question!).

Tous les pointeurs ou des clarifications seraient très appréciés. Est la sortie de keytool la même quelle que soit vous importez et son juste convention qui dit que l'un est un magasin de clés et de l'autre un magasin de confiance? Quelle est la relation lors de l'utilisation de SSL etc?

  • Je ne suis pas sûr de ce que tu veux dire par "Le certificat particulier, je suis à l'importation a qu'une clé publique": est-il juste d'une clé publique (c'est à dire pas d'un certificat ou d'un certificat d'autorité de certification?
  • hmmm, pas sûr. J'ai exporté à partir de mon navigateur internet comme un fichier PEM. Cela vous aide?
  • S'il est exporté à partir du navigateur, il s'agit probablement d'un certificat. Est-il un certificat de serveur (avec un CN ou subjectAltName correspondant au nom du serveur)? Est-il un certificat d'autorité de certification (voir sous Contraintes de Base, vous devriez être en mesure de voir ce à l'aide de votre navigateur).
  • tl;dr: trust magasins contiennent public, de confiance, de la racine (CA) certs, alors que l'identité/les magasins de clés contiennent privée, de l'identité certs; fichier-sage, cependant, ils sont les mêmes.
InformationsquelleAutor Toby | 2011-06-14
  1. 314

    La terminologie est un peu déroutant en effet, mais les deux javax.net.ssl.keyStore et javax.net.ssl.trustStore sont utilisés pour spécifier les fichiers de clés à utiliser, pour deux raisons différentes. Fichier de stockage des clés sont disponibles en divers formats et ne sont même pas nécessairement de fichiers (voir cette question), et keytool est juste un outil pour effectuer diverses opérations d'importation/exportation/liste/...).

    La javax.net.ssl.keyStore et javax.net.ssl.trustStore les paramètres par défaut sont les paramètres utilisés pour construire KeyManagers et TrustManagers (respectivement), puis utilisé pour construire une SSLContext qui contient essentiellement le protocole SSL/TLS paramètres à utiliser lors d'une connexion SSL/TLS via un SSLSocketFactory ou un SSLEngine. Ces propriétés du système sont juste là où les valeurs par défaut proviennent, qui est ensuite utilisé par SSLContext.getDefault(), elle-même utilisée par SSLSocketFactory.getDefault() par exemple. (Toutes ces informations peuvent être personnalisés par le biais de l'API dans un certain nombre d'endroits, si vous ne voulez pas utiliser les valeurs par défaut et que les SSLContexts pour un but donné.)

    La différence entre le KeyManager et TrustManager (et donc entre javax.net.ssl.keyStore et javax.net.ssl.trustStore) est comme suit (cité de la JSSE réf guide):

    TrustManager: Détermine si le
    l'authentification à distance des informations d'identification (et
    ainsi, la connexion) devrait être
    de confiance.

    KeyManager: Détermine
    les informations d'authentification pour envoyer à
    l'hôte distant.

    (Les autres paramètres sont disponibles et leurs valeurs par défaut sont décrites dans le JSSE réf guide. Notez que bien qu'il y est une valeur par défaut pour la banque de confiance, il n'y en a pas un pour le magasin de clés.)

    Essentiellement, le fichier de clés dans javax.net.ssl.keyStore est conçu pour contenir vos clés privées et des certificats, alors que la javax.net.ssl.trustStore est destinée à contenir les certificats d'autorité de certification que vous êtes prêt à faire confiance lorsqu'une partie à distance présente son certificat. Dans certains cas, ils peuvent être un seul et même magasin, même si il est souvent préférable d'utiliser divers magasins (surtout lorsqu'ils sont basés sur un fichier).

    • merci pour la réponse, il efface les choses un peu. Je suis encore confus mais quand il s'agit de l'utilisation, je peux utiliser un pk12 pri/pub clés (xxx.p12) comme un fichier de clés (par -D) et de créer une connexion SSL (de confiance), sans aucune mention d'un truststore via-D... oh bien.
    • Vous n'avez pas besoin de spécifier un truststore, parce qu'il y a une valeur par défaut pour elle (elle est fournie avec le JRE), généralement dans $JAVA_HOME/lib/security/cacerts (voir 2ème JSSE réf guide lien que j'ai envoyé). Comme les navigateurs, il contient un ensemble par défaut de confiance des certificats d'autorité de certification. En général, un client sera toujours utiliser un truststore vérifier le serveur cert, mais le fichier de clés ne sera utilisé que si le serveur demande à un client cert, et le serveur va toujours utiliser un fichier de clés pour sa propre clé+cert mais le truststore ne sera utilisé que si le client envoie un certificat au client.
    • Merci pour l'information utile. Dans Weblogic, il y a "identité-clé-store", qui enregistre le certificat SSL du serveur et puis il y a "confiance-clé-store" qui stocke les certificats SSL serveur fiducies, alors suis-je corriger si je dis que "l'identité de la clé-store" n'est rien mais une "keystore" et "trust-clé magasin" n'est rien mais une "truststore" ?
    • aussi doit-on remarque que lorsqu'il y a un "jssecacerts" , "le fichier cacerts" est ignoré ?
    InformationsquelleAutor Bruno
  2. 42

    Pour expliquer en commun cas d'utilisation/usage ou profane moyen:

    TrustStore : Comme son nom l'indique, son normalement utilisé pour stocker les certificats
    d'entités de confiance. Un processus peut maintenir un magasin de certificats de l'ensemble de ses parties de confiance
    qui il a confiance.

    keyStore : Utilisé pour stocker le serveur de clés (publique et privée)
    avec signé cert.

    Au cours de la négociation SSL,

    1. Un client tente d'accéder à https://

    2. Et donc, le Serveur répond en envoyant un certificat SSL (qui est stocké dans son fichier de clés)

    3. Maintenant, le client reçoit le certificat SSL et le vérifie via trustStore (j'.e du client trustStore a déjà pré-défini de certificats qui il a confiance.). L'un de ses semblables : puis-je faire confiance à ce serveur ? Est-ce le même serveur que je suis en train de parler ? Aucun homme au milieu des attaques ?

    4. Une fois, le client vérifie qu'il est en train de parler à un serveur qui il a confiance, alors la communication SSL peut se produire au cours d'une clé secrète partagée.

    Note : je ne parle pas ici quelque chose à propos de l'authentification du client sur le serveur. Si un serveur veut faire une authentification du client, puis le serveur maintient également un trustStore pour vérifier le client.

    InformationsquelleAutor Balaji Boggaram Ramanarayan
  3. 23

    Il n'y a pas de différence entre un fichier de clés et truststore fichiers. Les deux fichiers sont la propriété JKS format de fichier. La distinction est dans l'utilisation: au meilleur de mes connaissances, de Java à utiliser exclusivement le magasin qui est référencé par javax.net.ssl.trustStore à rechercher des certificats de confiance lors de la création de connexions SSL. Même pour les clés et javax.net.ssl.keyStore. Mais en théorie, c'est bien d'utiliser un seul et même fichier pour la confiance et des fichiers de clés.

    • Vous pouvez utiliser différents types de fichier de clés (par exemple, PKCS12) par la mise en au javax.net.ssl.keyStoreType et javax.net.ssl.trustStoreType propriétés du système.
    • Bon plus. Savez-vous si il existe une liste de toutes les éditions des conteneurs? Je ne sais PKCS12 et JKS (le premier étant le résultat d'essai et d'erreur...).
    • le fichier de clés formats varient selon les fournisseurs disponibles (voir la section cette liste pour ceux fourni avec l'Oracle JRE par défaut). Il y avait aussi une discussion dans cette question. D'autres fournisseurs (par exemple, BouncyCastle) peut être utilisé pour d'autres formats.
    InformationsquelleAutor musiKk
  4. 20

    Fichier est utilisé par un serveur pour stocker les clés privées, et Truststore est utilisé par le client à un tiers pour stocker les clés publiques fournies par le serveur d'accès. Je l'ai fait dans mon application en production. Ci-dessous sont les étapes à suivre pour la génération java certificats SSL pour la communication:

    1. Générer un certificat à l'aide de keygen de commande dans windows:

    keytool -genkey -keystore server.keystore -alias mycert -keyalg RSA -keysize 2048 -validity 3950

    1. Auto certifier le certificat:

    keytool -selfcert -alias mycert -keystore server.keystore -validity 3950

    1. De certificat d'exportation de dossier:

    keytool -export -alias mycert -keystore server.keystore -rfc -file mycert.cer

    1. Importer le Certificat du client Truststore:

    keytool -importcert -alias mycert -file mycert.cer -keystore truststore

    • Salut, j'ai un scénario où j'ai deux applications différentes dans le même conteneur (tomcat). À partir de deux applications, je dois appeler le reste des points de terminaison des deux côtés pour chaque application. Comme, de A à B et de B à A (A et B sont les deux applications). Ai-je besoin pour utiliser le truststore dans ce scénario? Comme je suis à l'aide personnalisée de repos d'un client à l'aide du fichier de clés. S'il vous plaît suggérer.
    InformationsquelleAutor Akash5288
  5. -1

    En termes plus simples :

    Keystore est utilisé pour stocker vos informations d'identification (serveur ou client), tandis que truststore est utilisé pour stocker d'autres informations d'identification (Certificats de CA).

    Fichier de clés est nécessaire lors de l'élaboration de côté de serveur SSL, il est utilisé pour stocker du serveur de certificat d'identité, le serveur qui va la présenter à un client sur la connexion alors que la confiance d'enregistrer la configuration côté client doit contenir à faire la relation de travail. Si vous navigateur pour vous connecter à un site SSL elle vérifie le certificat présenté par le serveur à l'encontre de ses truststore.

    InformationsquelleAutor Snehal Masne
  6. -2

    keystore simplement de stocker des clés privées, wheras truststore magasins de clés publiques. Vous souhaitez générer un java certificat pour la communication SSL. Vous pouvez utiliser un keygen de commande dans windows, ceci sera probablement le plus facile solution.

    • Un truststore magasins de confiance certicificates.
    InformationsquelleAutor Team END_TECH