Jak dowiedzieć się, jakiego magazynu kluczy używa moja maszyna JVM?

Muszę zaimportować certyfikat do mojego magazynu kluczy JVM. Używam następujących:

keytool -import -alias daldap -file somecert.cer

więc prawdopodobnie musiałbym zmienić moje wywołanie na coś takiego:

keytool -import -alias daldap -file somecert.cer -keystore cacerts –storepass changeit

Twój magazyn kluczy będzie w Twoim JAVA_HOME---> JRE -->lib---> security--> cacerts. Musisz sprawdzić, gdzie jest skonfigurowany Twój JAVA_HOME, prawdopodobnie jedno z tych miejsc,

1. Komputer ---> Zaawansowane -> Zmienne środowiskowe ---> JAVA_HOME

2. Twoje pliki wsadowe uruchamiania serwera.

W poleceniu importu -keystore cacerts (podaj tutaj pełną ścieżkę do powyższego środowiska JRE zamiast po prostu mówić cacerts).

Lokalizacja magazynu kluczy

Każda komenda keytool ma -keystoreopcję określania nazwy i lokalizacji trwałego pliku kluczy dla magazynu kluczy zarządzanego przez keytool. Magazyn kluczy jest domyślnie przechowywany w pliku o nazwie .keystorew katalogu osobistym użytkownika, zgodnie z właściwością systemową „user.home”. Biorąc pod uwagę nazwę użytkownika uName, wartość właściwości „user.home” ma wartość domyślną

C:\Users\uName on Windows 7 systems
C:\Winnt\Profiles\uName on multi-user Windows NT systems
C:\Windows\Profiles\uName on multi-user Windows 95 systems
C:\Windows on single-user Windows 95 systems

Tak więc, jeśli nazwa użytkownika to „cathy”, domyślną wartością jest „user.home”

C:\Users\cathy on Windows 7 systems
C:\Winnt\Profiles\cathy on multi-user Windows NT systems
C:\Windows\Profiles\cathy on multi-user Windows 95 systems

http://docs.oracle.com/javase/1.5/docs/tooldocs/windows/keytool.html

Mac OS X 10.12 z Javą 1.8:

$ JAVA_HOME / jre / lib / security

cd $JAVA_HOME

/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home

Stamtąd jest w:

./jre/lib/security

Mam tam magazyn kluczy Cacerts.

Aby określić to jako opcję maszyny wirtualnej:

-Djavax.net.ssl.trustStore=/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home/jre/lib/security/cacerts -Djavax.net.ssl.trustStorePassword=changeit

Nie mówię, że to poprawny sposób (dlaczego java nie wie, jak szukać w JAVA_HOME?), Ale to właśnie musiałem zrobić, aby działał.

Możesz go znaleźć w swoim katalogu „Home”:

W systemie Windows 7:

C:\Users\<YOUR_ACCOUNT>\.keystore

W systemie Linux (Ubuntu):

/home/<YOUR_ACCOUNT>/.keystore

To działa dla mnie:

#! / bin / bash

CACERTS = $ (readlink -e $ (dirname $ (readlink -e $ (które narzędzie kluczy))) /../ lib / security / cacerts)= $ ( readlink - e $ ( dirname $ ( readlink - e $ ( which keytool ))) /../ lib / security / cacerts )

if keytool -list -keystore $ CACERTS -storepass changeit> / dev / null; następnieif keytool - lista - magazyn kluczy $ CACERTS - storepass changeit > / dev / null ; następnie  
    echo $ CACERTS
jeszczejeszcze
    echo „Nie można znaleźć pliku cacerts”. > & 2„Nie można znaleźć pliku cacerts”. > & 2 
    wyjście 11
fifi

Tylko dla Linuksa. Mój Solaris nie ma linku do odczytu. W końcu użyłem tego skryptu Perl:

#! / usr / bin / env perl
użyj ścisłego;użyj ścisłego ;
używaj ostrzeżeń;używaj ostrzeżeń ;
użyj Cwd qw (realpath);użyj Cwd qw ( realpath ); 
$ _ = realpath ((grep {-x && -f} map {"$ _ / keytool"} split (':', $ ENV {PATH})) [0]);= realpath (( grep {- x && - f } map { "$ _ / keytool" } split ( ':' , $ ENV { PATH })) [ 0 ]); 
die "Nie można znaleźć narzędzia", ​​chyba że zdefiniowano $ _;die "Nie można znaleźć keytool", chyba że zdefiniowano $ _ ;  
my $ keytool = $ _;my $ keytool = $ _ ;
print "Używanie '$ keytool'. \ n";print "Używanie '$ keytool'. \ n" ; 
s / keytool $ //;/ keytool $ / /;
$ _ = realpath ($ _. '../lib/security/cacerts');lib / security / cacerts ');
die "Nie można znaleźć cacerts", chyba że -f $ _;
moje $ cacerts = $ _;
print "Importowanie do '$ cacerts'. \ n";$ cacerts '. \ n ";
`$ keytool -list -keystore" $ cacerts "-storepass changeit`;
die "Nie można odczytać kontenera kluczy", chyba że $? == 0;
zakończ, jeśli $ ARGV [0] eq '-d';- d ';
foreach (@ARGV) {
    mój $ cert = $ _;
    s /\.[^.]+$//;
    mój $ alias = $ _;
    print "Importowanie '$ cert' jako '$ alias'. \ n";$ cert 'jako' $ alias '. \ n ";
    `keytool -importcert -file" $ cert "-alias" $ alias "-keystore" $ cacerts "-storepass changeit`;
    warn "Nie można zaimportować certyfikatu: $?" chyba że $? == 0;
}

Jak wspomniano w DimtryB, magazyn kluczy domyślnie znajduje się w katalogu użytkownika. Ale jeśli próbujesz zaktualizować cacertsplik, aby maszyna JVM mogła wybrać klucze, będziesz musiał zaktualizować cacertsplik pod jre/lib/security. Możesz również wyświetlić klucze, wykonując polecenie, keytool -list -keystore cacertsaby sprawdzić, czy Twój certyfikat został dodany.

W Debianie, używając wersji openjdk "1.8.0_212", znalazłem cacerts tutaj:

 /etc/ssl/certs/java/cacerts

Oczywiście byłoby przydatne, gdyby istniało standardowe polecenie, które wydrukowałoby tę ścieżkę.

Dla mnie, używając oficjalnego obrazu OpenJDK 12 Docker , lokalizacja magazynu kluczy Java była następująca:

/usr/java/openjdk-12/lib/security/cacerts

Napotkaliśmy ten problem na serwerze Tomcat działającym z katalogu jre, który został (prawie całkowicie) usunięty po automatycznej aktualizacji środowiska jre, tak że działające środowisko jre nie mogło już znaleźć jre ... / lib / security / cacerts, ponieważ już nie istniało.

Ponowne uruchomienie Tomcata (po zmianie konfiguracji na uruchamianie z innej lokalizacji jre) rozwiązało problem.

Oprócz wszystkich powyższych odpowiedzi:

Jeśli aktualizacja pliku cacerts w katalogu JRE nie pomaga, spróbuj zaktualizować go w JDK.

C: \ Program Files \ Java \ jdk1.8.0_192 \ jre \ lib \ security