如何在 Jetty 中使用 Windows 证书存储？

Question

我正在尝试使用 Jetty 的 Windows 证书存储 进行 HTTPS 通信。

在客户端站点上设置 Web 应用程序后，客户端在 Windows 证书存储中更新过期证书应该比创建或更新密钥存储文件更容易。

这就是我所做的：

从https://www.eclipse.org/jetty/download.html下载最新版本9.4.26

在start.ini中添加了以下几行：

jetty.ssl.port=443
jetty.sslContext.keyStoreType=Windows-MY

运行方式：

"jre\bin\java" -jar start.jar --module=https,deploy

这是我得到的错误：

java.lang.reflect.InvocationTargetException
        at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.lang.reflect.Method.invoke(Method.java:498)
        at org.eclipse.jetty.start.Main.invokeMain(Main.java:218)
        at org.eclipse.jetty.start.Main.start(Main.java:491)
        at org.eclipse.jetty.start.Main.main(Main.java:77)
Caused by: java.lang.IllegalStateException: no valid keystore
        at org.eclipse.jetty.util.security.CertificateUtils.getKeyStore(CertificateUtils.java:50)
        at org.eclipse.jetty.util.ssl.SslContextFactory.loadKeyStore(SslContextFactory.java:1188)
        at org.eclipse.jetty.util.ssl.SslContextFactory.load(SslContextFactory.java:323)
        at org.eclipse.jetty.util.ssl.SslContextFactory.doStart(SslContextFactory.java:245)
        at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:72)
        at org.eclipse.jetty.util.component.ContainerLifeCycle.start(ContainerLifeCycle.java:169)
        at org.eclipse.jetty.util.component.ContainerLifeCycle.doStart(ContainerLifeCycle.java:117)
        at org.eclipse.jetty.server.SslConnectionFactory.doStart(SslConnectionFactory.java:92)
        at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:72)
        at org.eclipse.jetty.util.component.ContainerLifeCycle.start(ContainerLifeCycle.java:169)
        at org.eclipse.jetty.util.component.ContainerLifeCycle.doStart(ContainerLifeCycle.java:117)
        at org.eclipse.jetty.server.AbstractConnector.doStart(AbstractConnector.java:320)
        at org.eclipse.jetty.server.AbstractNetworkConnector.doStart(AbstractNetworkConnector.java:81)
        at org.eclipse.jetty.server.ServerConnector.doStart(ServerConnector.java:231)
        at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:72)
        at org.eclipse.jetty.server.Server.doStart(Server.java:385)
        at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:72)
        at org.eclipse.jetty.xml.XmlConfiguration.lambda$main$0(XmlConfiguration.java:1888)
        at java.security.AccessController.doPrivileged(Native Method)
        at org.eclipse.jetty.xml.XmlConfiguration.main(XmlConfiguration.java:1837)
        ... 7 more

我也尝试添加或更改行，结果相同：

jetty.sslContext.keyStoreType=Windows-MY
jetty.sslContext.trustStoreType=Windows-ROOT

-

jetty.sslContext.keyStoreType=Windows-ROOT

-

jetty.sslContext.keyStoreType=Windows-MY
jetty.sslContext.trustStoreType=Windows-ROOT
jetty.sslContext.keyStorePath=NONE
jetty.sslContext.trustStorePath=NONE

Answer 1

如果您看到 Jetty 的源代码，他们希望某些文件系统资源作为密钥库和信任库路径传递。当 keystore 或 truststore 补丁不存​​在时会出现以下异常：

Caused by: java.lang.IllegalStateException: no valid keystore
    at rg.eclipse.jetty.util.security.CertificateUtils.getKeyStore(CertificateUtils.java:50)

但是有一个技巧可以加载 Windows 商店。您可以指定：

jetty.sslContext.keyStoreType=Windows-MY (or Windows-ROOT)

对于jetty.sslContext.keyStorePath，您可以指定文件系统上存在的任何虚拟文件路径（您甚至可以创建一个空的 txt 文件并给出其路径！）。在这种情况下，Windows Store 将被加载，并且码头端资源验证也将通过。

仅供参考，当您将密钥库类型提供为 Windows-MY 或 Windows-ROOT 时，它会在加载密钥库时简单地忽略任何文件输入流（如果已通过）。最终只加载了一个密钥库，即 Windows 应用商店。