Как узнать, какое хранилище ключей использует моя JVM?

Мне нужно импортировать сертификат в хранилище ключей JVM. Я использую следующее:

keytool -import -alias daldap -file somecert.cer

поэтому мне, вероятно, нужно будет изменить свой вызов на что-то вроде:

keytool -import -alias daldap -file somecert.cer -keystore cacerts –storepass changeit

Ваше хранилище ключей будет в вашем JAVA_HOME---> JRE -->lib---> security--> cacerts. Вам нужно проверить, где настроен ваш JAVA_HOME, возможно, в одном из этих мест,

1. Компьютер ---> Дополнительно -> Переменные среды ---> JAVA_HOME

2. Пакетные файлы запуска вашего сервера.

В вашей команде импорта -keystore cacerts (укажите здесь полный путь к указанной выше JRE вместо того, чтобы просто говорить cacerts).

Расположение хранилища ключей

Каждая команда keytool имеет -keystoreвозможность указать имя и расположение файла постоянного хранилища ключей для хранилища ключей, управляемого keytool. Хранилище ключей по умолчанию хранится в файле с именем .keystoreв домашнем каталоге пользователя, как определено системным свойством "user.home". Учитывая имя пользователя uName, значение свойства user.home по умолчанию равно

C:\Users\uName on Windows 7 systems
C:\Winnt\Profiles\uName on multi-user Windows NT systems
C:\Windows\Profiles\uName on multi-user Windows 95 systems
C:\Windows on single-user Windows 95 systems

Таким образом, если имя пользователя - «cathy», «user.home» по умолчанию

C:\Users\cathy on Windows 7 systems
C:\Winnt\Profiles\cathy on multi-user Windows NT systems
C:\Windows\Profiles\cathy on multi-user Windows 95 systems

http://docs.oracle.com/javase/1.5/docs/tooldocs/windows/keytool.html

Mac OS X 10.12 с Java 1.8:

$ JAVA_HOME / JRE / Библиотека / безопасность

cd $JAVA_HOME

/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home

Оттуда это:

./jre/lib/security

У меня там есть хранилище ключей cacerts.

Чтобы указать это как параметр виртуальной машины:

-Djavax.net.ssl.trustStore=/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home/jre/lib/security/cacerts -Djavax.net.ssl.trustStorePassword=changeit

Я не говорю, что это правильный способ (почему java не знает, что нужно искать в JAVA_HOME?), Но это то, что мне нужно было сделать, чтобы он заработал.

Вы можете найти его в своем «Домашнем» каталоге:

В Windows 7:

C:\Users\<YOUR_ACCOUNT>\.keystore

В Linux (Ubuntu):

/home/<YOUR_ACCOUNT>/.keystore

Это работает для меня:

#! / Бен / Баш

САСЕРТЫ = $ ( readlink - e $ ( dirname $ ( readlink - e $ ( which keytool ))) /../ lib / security / cacerts )

если keytool - list - keystore $ CACERTS - storepass changeit > / dev / null ; затем  
    echo $ CACERTS
else 
    echo "Не удается найти файл cacerts." > & 2 
    выход 1 fi 

Только для Linux. У моего Solaris нет ссылки для чтения. В итоге я использовал Perl-Script:

#! / usr / bin / env perl use strict ; использовать предупреждения ; используйте Cwd qw ( realpath ); 
$ _ = realpath (( grep {- x && - f } map { "$ _ / keytool" } split ( ':' , $ ENV { PATH })) [


   0 ]); die "Не могу найти keytool"
   если не определено $ _ ; мой $ keytool = $ _ ; Распечатать

 "Используя '$ keytool'. \ N" ; 
s / keytool $ / /;
$ _ = realpath ($ _. '../ lib / security / cacerts ');
die "Не могу найти cacerts", если только -f $ _;
мой $ cacerts = $ _;
print "Импорт в ' $ cacerts '. \ n";
`$ keytool -list -keystore" $ cacerts "-storepass changeit`;
die "Не могу прочитать контейнер ключей" разве что $? == 0;
выйти, если $ ARGV [0] eq ' - d ';
foreach (@ARGV) {
    мой $ cert = $ _;
    с /\.[^.]+$//;
    мой $ псевдоним = $ _;
    print "Импорт ' $ cert ' как ' $ alias '. \ n";
    `keytool -importcert -file" $ cert "-alias" $ alias "-keystore" $ cacerts "-storepass changeit`;
    предупреждать "Невозможно импортировать сертификат: $?" разве что $? == 0;
}

Как упоминал DimtryB, по умолчанию хранилище ключей находится в каталоге пользователя. Но если вы пытаетесь обновить cacertsфайл, чтобы JVM могла выбирать ключи, вам придется обновить cacertsфайл под jre/lib/security. Вы также можете просмотреть ключи, выполнив команду, keytool -list -keystore cacertsчтобы узнать, добавлен ли ваш сертификат.

В Debian, используя openjdk версии "1.8.0_212", я обнаружил здесь cacerts:

 /etc/ssl/certs/java/cacerts

Конечно, было бы удобно, если бы существовала стандартная команда, которая распечатывала бы этот путь.

Для меня, использующего официальный образ OpenJDK 12 Docker , хранилище ключей Java располагалось следующим образом:

/usr/java/openjdk-12/lib/security/cacerts

Мы столкнулись с этой проблемой на Tomcat, запущенном из каталога jre, который был (почти полностью) удален после автоматического обновления jre, поэтому запущенный jre больше не мог найти jre ... / lib / security / cacerts, потому что он больше не существовал.

Перезапуск Tomcat (после изменения конфигурации для запуска из другого местоположения jre) устранил проблему.

В дополнение ко всем ответам выше:

Если обновление файла cacerts в каталоге JRE не помогает, попробуйте обновить его в JDK.

C: \ Program Files \ Java \ jdk1.8.0_192 \ jre \ lib \ security