Nicht ändern können Sie die keystore-format

Ich versuche, mich einige keystores mit keytool aus der neuesten JRE (version 1.8.0_151). Wenn ich den keystore mit diesem Befehl keytool -genkey -alias serverprivate -keystore server.private -keyalg rsa -storepass apassword -keypass apassword zeigt er mir diese Warnung:

Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate 
to  PKCS12 which is an industry standard format using "keytool 
-importkeystore -srckeystore server.private -destkeystore server.private
-deststoretype pkcs12".

Also habe ich den Befehl eingeben, und es sagt es ist fertig, und die alten keystore gespeichert wurde, im server.private_old. Aber wenn ich keytool -list -keystore server.private und geben Sie das Kennwort ein, es wird noch aufgeführt, wie JKS statt PKCS12. Warum ist das so?

update
Es ist nicht leise geändert, um pkcs12-entweder, weil wenn ich KeyStore store = KeyStore.getInstance("pkcs12"); in java wirft es einen Fehler, während es funktioniert gut, wenn mit getInstance("JKS");

update 2
Und bei der Verwendung von keytool -genkey -alias serverprivate -keystore server.private -storetype PKCS12 -keyalg rsa es nicht zeigen Sie mir eine Warnung, aber immer noch als einen JKS-keystore bei der Verwendung keytool -list server.private.

Könnten Sie versuchen, das speichern unter einem anderen Dateinamen und sehen, was passiert? Wenn Sie auf einem Unix-system sind, könnten Sie auch versuchen file <keystore_name.ext>? Hmm, der Letzte Satz war veraltet, bevor ich kann es mit dem update 🙂
Ich würde empfehlen die Verwendung des .jks und .p12 Dateinamenerweiterungen, die durch die Art und Weise.
immer noch in der Liste als JKS, auch beim Wechsel Erweiterung p12
OK, das beginnt, sieht aus wie ein bug. Beachten Sie, dass Java 9 verwendet .p12 als Standard, so dass es könnte ein Problem sein, Zurückportieren. Aber konnte Sie bewegen, Ihre -deststoretype Argumente für das starten des Befehls, nur um sicher zu sein? Welche Inhalte sind in den keystore, etwas vielleicht, dass Java 8 nicht unterstützt, wie die privaten Schlüssel ohne Zertifikate?
Der neue keystore wirklich ist PKCS12. Der Fehler ist, dass keytool sagt es ist jks. Um dies zu überprüfen, können Sie analysieren es mit openssl: openssl pkcs12 -in server.private

InformationsquelleAutor Conner Dassen | 2017-12-04

  1. 5

    Es scheint ein Fehler zu sein in dem, was keytool angezeigt, sondern als das, was es tut. Betrachten Sie die folgenden Experimente.

    (EDIT: bug report eingereicht)

    Erste, mein jdk-version ist 1.8.0_152:

    excalibur:~ ronan$ java -version
java version "1.8.0_152"
Java(TM) SE Runtime Environment (build 1.8.0_152-b16)
Java HotSpot(TM) 64-Bit Server VM (build 25.152-b16, mixed mode)

    Nun erstellen Sie die keystore-wie von Ihnen angegeben:

    excalibur:~ ronan$ keytool -genkey -alias serverprivate -keystore server.private -keyalg rsa -storepass apassword -keypass apassword
What is your first and last name?
  [Unknown]:  Art Vandelay
What is the name of your organizational unit?
  [Unknown]:  Export/Import
What is the name of your organization?
  [Unknown]:  Vandelay Industries
What is the name of your City or Locality?
  [Unknown]:  New York
What is the name of your State or Province?
  [Unknown]:  New York
What is the two-letter country code for this unit?
  [Unknown]:  US
Is CN=Art Vandelay, OU=Export/Import, O=Vandelay Industries, L=New York, ST=New York, C=US correct?
  [no]:  yes


Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore server.private -destkeystore server.private -deststoretype pkcs12".

    Nun, folgende Hinweise gegeben:

    excalibur:~ ronan$ keytool -importkeystore -srckeystore server.private -destkeystore server.private -deststoretype pkcs12
Enter source keystore password:  
Entry for alias serverprivate successfully imported.
Import command completed:  1 entries successfully imported, 0 entries failed or cancelled

Warning:
Migrated "server.private" to Non JKS/JCEKS. The JKS keystore is backed up as "server.private.old".

    Aber wenn wir die Liste mit keytool, es sagt noch JKS.

    excalibur:~ ronan$ keytool -list -keystore server.private
Enter keystore password:  
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

serverprivate, Dec 4, 2017, PrivateKeyEntry, 
Certificate fingerprint (SHA1): 16:E8:C6:12:7A:F1:7A:B8:64:98:EC:12:C4:07:9E:67:06:BD:DD:BD

    Jedoch openssl Parsen kann es als pkcs12-einfach nur gut.

    excalibur:~ ronan$ openssl pkcs12 -in server.private
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: serverprivate
    localKeyID: 54 69 6D 65 20 31 35 31 32 34 31 33 32 30 38 31 38 32 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Bag Attributes
    friendlyName: serverprivate
    localKeyID: 54 69 6D 65 20 31 35 31 32 34 31 33 32 30 38 31 38 32 
subject=/C=US/ST=New York/L=New York/O=Vandelay Industries/OU=Export/Import/CN=Art Vandelay
issuer=/C=US/ST=New York/L=New York/O=Vandelay Industries/OU=Export/Import/CN=Art Vandelay
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    sowie die folgende Java-snippet kann auch analysiert werden.

    import java.io.FileInputStream;
import java.security.KeyStore;
import java.util.Collections;

public class Main {
    public static void main(String[] args) throws Exception {
        KeyStore pkcs12 = KeyStore.getInstance("PKCS12");
        pkcs12.load(new FileInputStream("../../../server.private"), "apassword".toCharArray());
        for (String alias : Collections.list(pkcs12.aliases())) {
            System.out.println(alias);
        }
    }
}

    und der Ausgang ist

    serverprivate

    Ich bekomme die gleichen (irreführend) Ergebnis standardmäßig, aber genauere Typ-Angaben aus keytool wenn ich abschalten keystore.type.compat im JRE/lib/security/java.Sicherheit . Auch eine sehr subtile Unterscheidungsmerkmal sogar mit dem compat Schlamassel auf: wenn ich keystore -list und drücken Sie die EINGABETASTE, wenn Sie dazu aufgefordert werden für storepass, für JKS enthält die Liste cert-fingerprint(s), aber für P12 tut es nicht, weil JKS-Shops certs im klaren, aber die meisten Implementierungen von P12 einschließlich JCE 'verschlüsseln' die certbag mit einfach-gebrochen RC2-40 (das ist dumm, aber jeder tut es).
    Mein erste Kommentar unter der Frage angegeben, die file Befehl enthalten ist, ist in den meisten Posix-Systemen (linux, apple, cygwin usw.) die Sie auch verwenden können, um sicherzustellen, dass die Datei-Typ. Gut zu wissen, suchen für bug-report, morgen.
    Ich nahm vor kurzem einen Blick in diese wieder, aber wenn ich call-pkcs12.load () - es wirft diese Fehlermeldung: java.io.IOException: DerInputStream.getLength(): lengthTag=109, too big., während es funktioniert gut, wenn ich KeyStore.getInstance("JKS");

    InformationsquelleAutor James K Polk

Schreibe einen Kommentar