Ява SSL и сертификат хранилища ключей

Как моя Java-программа узнает, где находится мое хранилище ключей, содержащее сертификат? Или, в качестве альтернативы, как мне указать моей Java-программе, где искать хранилище ключей?

После указания хранилища ключей, каким образом указать сертификат, который будет использоваться для аутентификации сервера на клиенте?

System.setProperty("javax.net.ssl.trustStore", path_to_your_jks_file);

Свойства SSL устанавливаются на уровне JVM через системные свойства. Это означает, что вы можете либо установить их при запуске программы (java -D ....), либо вы можете установить их в коде, выполнив System.setProperty.

Конкретные ключи, которые вы должны установить, приведены ниже:

javax.net.ssl.keyStore - расположение файла хранилища ключей Java, содержащего собственный сертификат и секретный ключ процесса приложения. В Windows указанный путь должен использовать прямую косую черту, /, вместо обратной косой черты.

javax.net.ssl.keyStorePassword - пароль для доступа к закрытому ключу из файла хранилища ключей, указанного в javax.net.ssl.keyStore. Этот пароль используется дважды: чтобы разблокировать файл хранилища ключей (сохранить пароль) и расшифровать закрытый ключ, хранящийся в хранилище ключей (пароль ключа).

javax.net.ssl.trustStore - расположение файла хранилища ключей Java, содержащего коллекцию сертификатов CA, которым доверяет этот процесс приложения (хранилище доверенных сертификатов). В Windows указанный путь должен использовать прямую косую /черту вместо обратной косой черты \.

Если местоположение хранилища доверенных сертификатов не указано с помощью этого свойства, реализация SunJSSE ищет и использует файл хранилища ключей в следующих местах (по порядку):

1. $JAVA_HOME/lib/security/jssecacerts
2. $JAVA_HOME/lib/security/cacerts

javax.net.ssl.trustStorePassword - пароль для разблокировки файла хранилища ключей (пароль хранилища), заданного параметром javax.net.ssl.trustStore.

javax.net.ssl.trustStoreType - (Необязательно) Для формата файла хранилища ключей Java это свойство имеет значение jks (или JKS). Обычно это свойство не указывается, поскольку его значением по умолчанию уже является jks.

javax.net.debug - чтобы включить ведение журнала для уровня SSL / TLS, установите для этого свойства значение ssl.

Просто предупреждение. Если вы пытаетесь открыть существующее хранилище ключей JKS в Java 9 и более поздних версиях, вам необходимо убедиться, что вы также упоминаете следующие свойства со значением как «JKS»:

javax.net.ssl.keyStoreType
javax.net.ssl.trustStoreType

Причина в том, что тип хранилища ключей по умолчанию, как предписано в файле java.security, был изменен на pkcs12 с jks с Java 9 и выше.

Во-первых, есть два вида хранилищ ключей.

Индивидуальный и общий

Приложение будет использовать тот, который указан при запуске или по умолчанию системы.

Это будет другая папка, если работает JRE или JDK, или если вы проверите личную или «глобальную» папку.

Они тоже зашифрованы

Короче, путь будет такой:

$JAVA_HOME/lib/security/cacerts для "общего", который имеет все CA для властей и является весьма важным.

Вы также можете упомянуть путь во время выполнения, используя -Dсвойства, как показано ниже

-Djavax.net.ssl.trustStore=/home/user/SSL/my-cacerts 
-Djavax.net.ssl.keyStore=/home/user/SSL/server_keystore.jks

В моем приложении apache spark я использовал путь к сертификатам и хранилищу ключей, используя --confопцию и extraJavaoptionsв spark-submit, как показано ниже

--conf 'spark.driver.extraJavaOptions= 
-Djavax.net.ssl.trustStore=/home/user/SSL/my-cacerts 
-Djavax.net.ssl.keyStore=/home/user/SSL/server_keystore.jks'