具有多个密钥和不同密码的 Java 密钥库

【问题标题】:Java keystore with multiple keys and different passwords具有多个密钥和不同密码的 Java 密钥库
【发布时间】:2016-02-29 20:54:02
【问题描述】:

我创建了一个 java JKS 密钥库:

keytool -genkey -alias mydomain -keyalg RSA -keystore mytest.jks -keysize 2048

之后,我使用服务器的 CRT 和 openssl 创建了一个 P12 文件:

openssl pkcs12 -export -in server.crt -inkey server.key > server.p12

现在我将 P12 文件导入到我之前创建的 JKS 密钥库中:

keytool -importkeystore -srckeystore server.p12 -destkeystore mytest.jks -srcstoretype pkcs12

它有效,我可以使用这个 JKS 来初始化与服务器的 SSL 连接:

public static SSLContext initSSLContext(String keystoreLocation, String keystorePwd, String truststorePwd, String serverCrtPwd)
SSLContext context;
context = SSLContext.getInstance("TLS");
KeyStore ks = KeyStore.getInstance("JKS");
ks.load(new FileInputStream(keystoreLocation), keystorePwd.toCharArray());
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(ks, serverCrtPwd.toCharArray());

KeyStore trustStore = KeyStore.getInstance("jks");
trustStore.load(new FileInputStream(keystoreLocation), truststorePwd.toCharArray());
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init(trustStore);

context.init(kmf.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());

将导入的 CRT 文件的密钥库位置、密码和密码放在它工作的参数中。

现在我必须将多个 P12 文件转换并导入到同一个 JKS 密钥库中,多次运行导入部分,我有多个使用不同别名导入的密钥,当然还有不同的密码。我的问题是现在每个导入的密钥都有自己的密码。 我只想使用给定密钥库中的每个可用别名初始化 SSL 连接一次。因为更多的服务器会使用 SSL 向我的应用程序发送数据,所以它们有不同的密码,它们被导入到我的密钥库中,但我无法使用多个密码初始化我的密钥库,它只接受一个密码。如何使用多个具有不同别名和不同密码的导入 P12 来初始化我的密钥库? init 方法只接受一个用于“从密钥库恢复密钥”的参数。

谢谢!

【问题讨论】:

  • 您必须使用keytool 或 OpenSSL 命令(如果有)将所有密码更改为相同。
  • 是否有任何解决方案,如果密码必须不同,因为强安全原因?
  • 如果我使用相同的密码将多个密钥导入密钥库,我可以接受来自所有客户端的连接吗?我真正需要的是:一个带有密钥的密钥库(完成),创建一个服务器套接字,它可以接受来自我已经导入的所有客户端的连接(它们在商店中有不同的别名)。可行吗?

标签: java ssl networking


【解决方案1】:

最近我遇到了同样的挑战来实现这一目标。在寻找解决方案时,我遇到了您的问题。也许我晚了 5 年,但在找到解决方案后,我想与您分享。

所以我发现你有几个选择:

  • 所有密钥都应具有相同的密码,或者
  • 使用自己的 KeyManager 为每个键实例化一个单独的 SSLContext,或者

显然您已经知道这些选项并且您不想执行这些操作。另一种方法是仍然拥有一个具有不同密钥和密码的密钥库。假设您有一个密钥库,其中包含具有以下别名和密码的密钥:

  • foo -> foo-password
  • bar -> bar-password
  • lorum-ipsum -> lorum-ipsum-password

以下设置将为您解决问题:

var sslContext = SSLContext.getInstance("TLS");
var keyStore = ... // your custom KeyStore

var keyManager = KeyManagerUtils.createKeyManager(keyStore, Map.of(
        "foo","foo-password".toCharArray(),
        "bar","bar-password".toCharArray(),
        "lorum-ipsum","lorum-ipsum-password".toCharArray()
));

sslContext.init(new KeyManager[]{keyManager}, trustManagers, null);

这个 KeyManagerUtils 在幕后所做的是为每个密钥/密码创建一个 KeyManager 并将其合并到一个基础 KeyManager 中,该基础 KeyManager 能够包含多个 KeyManager 并将其作为单个返回,以便您可以在 SSLContext 中使用它.详情及用法见这里:Github - SSLContext-Kickstart

【讨论】:

    猜你喜欢
    • 2015-10-07
    • 2018-06-19
    • 1970-01-01
    • 2018-08-06
    • 2011-06-23
    • 1970-01-01
    • 1970-01-01
    • 2016-07-13
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode