Keystore-Typ: Welcher zu verwenden?

Suchen Sie in der Datei java.security meiner JRE sehe ich, dass die keystore-Typ zu verwenden, die standardmäßig eingestellt ist JKS. Hieres gibt eine Liste von der keystore-Typen, die verwendet werden können.

Gibt es eine empfohlene keystore-Typ? Was sind die vor - /Nachteile der verschiedenen keystore-Typen?

InformationsquelleAutor der Frage Mickael Marrache | 2012-07-18

  1. 99

    Gibt es ein paar mehr Arten als das, was aufgeführt ist, in den standard-Namen-Liste, die du verlinkt hast. Finden Sie mehr in der cryptographic providers Dokumentation. Die häufigsten sind sicherlich JKS (der Standard) und PKCS12 (für PKCS#12-Dateien oft mit der Endung .p12 oder manchmal .pfx).

    JKS ist die häufigste, wenn Sie sich innerhalb der Java-Welt. PKCS#12 ist nicht Java-spezifisch, es ist besonders praktisch für die Verwendung von Zertifikaten (mit privaten Schlüssel) gesichert, die von einem browser oder aus der OpenSSL-basierten tools (keytool war nicht in der Lage, konvertieren Sie eine keystore-und importieren Sie Ihre privaten Schlüssel vor Java 6, also mussten Sie andere tools verwenden).

    Wenn Sie bereits über eine PKCS#12-Datei, ist es oft einfacher, den PKCS12 geben direkt. Es ist möglich, Formate zu konvertieren, aber es ist selten notwendig, wenn Sie können wählen Sie die keystore-Typ direkt.

    In Java 7, die PKCS12 war vor allem nützlich, als keystore aber weniger für eine truststore (siehe Unterschied zwischen einem keystore-und truststore -), denn man konnte nicht speichern, Zertifikat, Einträge ohne einen privaten Schlüssel. Im Gegensatz dazu JKS nicht verlangen, dass jeder Eintrag ein eigenes key-Eintrag, so dass Sie Einträge enthalten, werden nur Zertifikate, die nützlich für trust stores, wo Sie zu speichern die Liste der Zertifikate, die Sie Vertrauen (aber nicht den privaten Schlüssel).

    Geändert hat dies in Java 8, so jetzt können Sie über das Zertifikat-es werden nur die Einträge in PKCS12 Filialen auch. (Mehr details über diese änderungen und weitere Pläne finden Sie in JEP 229: Erstellen PKCS12-Keystores Standardmäßig.)

    Gibt es ein paar andere keystore-Typen, die vielleicht weniger Häufig verwendet (je nach Kontext), zu diesen gehören:

    • PKCS11 für PKCS#11-Bibliotheken, in der Regel für den Zugriff auf hardware cryptographic Token, aber die Sonne provider-Implementierung unterstützt auch die NSS-stores (von Mozilla).
    • BKS mit der BouncyCastle-provider (allgemein für Android).
    • Windows-MY/Windows-ROOTwenn Sie Zugriff auf den Windows-Zertifikatspeicher direkt.
    • KeychainStore wenn Sie möchten, verwenden Sie den OSX Schlüsselbund direkt.

    InformationsquelleAutor der Antwort Bruno

  2. 15

    Hier ist ein Beitrag, der führt die anderen keystore-Typen in Java und die Unterschiede zwischen den verschiedenen keystore-Typen. http://www.pixelstech.net/article/1408345768-Different-types-of-keystore-in-Java----Overview

    Unten sind die Beschreibungen der verschiedenen keystores die post ab:

    JKS, Java Key Store. Sie finden diese Datei an
    Sonne.Sicherheit.Anbieter.JavaKeyStore. Dieser Schlüsselspeicher ist Java spezifisch, es
    in der Regel hat die Erweiterung des jks. Diese Art der keystore enthalten kann
    private Schlüssel und Zertifikate, aber es kann nicht verwendet werden zum speichern von geheimen
    Schlüssel. Da es ein Java-spezifische keystore, so dass es verwendet werden kann
    andere Programmiersprachen.

    JCEKS, JCE-Taste speichern. Sie finden diese Datei an
    com.Sonne.crypto.Anbieter.JceKeyStore. Dieser Schlüsselspeicher ist eine Erweiterung der
    jceks. Die Einträge kann man in die JCEKS keystore private
    Schlüssel, geheime Schlüssel und Zertifikate.

    PKCS12, dies ist ein standard-keystore-Typ, die verwendet werden können, die in Java und
    anderen Sprachen. Finden Sie das keystore-Implementierung an
    Sonne.Sicherheit.pkcs12.PKCS12KeyStore. Es hat in der Regel eine Erweiterung des p12
    oder pfx. Sie können die Speicherung privater Schlüssel, geheime Schlüssel und Zertifikate auf
    diese Art.

    PKCS11, dies ist eine hardware-keystore-Typ. Es-Server eine Schnittstelle für
    die Java-Bibliothek, um eine Verbindung mit hardware-Schlüsselspeicher Geräte wie
    Luna, nCipher. Sie finden diese Umsetzung auf
    Sonne.Sicherheit.pkcs11.P11KeyStore. Beim laden des keystore, den Sie nicht
    brauchen zu erstellen eine bestimmte Anbieter mit einer bestimmten Konfiguration. Diese
    keystore speichern kann private Schlüssel, geheime Schlüssel und cetrificates. Wenn
    laden der keystore werden die Einträge aus dem Schlüsselspeicher abgerufen werden
    und dann umgewandelt in die software-Einträge.

    InformationsquelleAutor der Antwort PixelsTech

Schreibe einen Kommentar