如何找出我的JVM使用的密钥库？

Question

我需要将证书导入我的JVM密钥库.我使用以下内容:

keytool -import -alias daldap -file somecert.cer

所以我需要将我的调用改为:

keytool -import -alias daldap -file somecert.cer -keystore cacerts –storepass changeit

Answer 1

你的密钥库将在你的JAVA_HOME---> JRE -->lib---> security--> cacerts.您需要检查JAVA_HOME的配置位置,可能是其中一个位置,

1. 计算机--->高级 - >环境变量---> JAVA_HOME

2. 您的服务器启动批文件.

在你的import命令-keystore cacerts中(在这里提供上述JRE的完整路径,而不仅仅是说cacerts).

Answer 2

密钥库位置

每个keytool命令都有一个-keystore选项,用于指定由keytool管理的密钥库的持久密钥库文件的名称和位置.密钥库默认存储在.keystore用户主目录中指定的文件中,由"user.home"系统属性确定.给定用户名uName,"user.home"属性值默认为

C:\Users\uName on Windows 7 systems
C:\Winnt\Profiles\uName on multi-user Windows NT systems
C:\Windows\Profiles\uName on multi-user Windows 95 systems
C:\Windows on single-user Windows 95 systems

因此,如果用户名是"cathy",则"user.home"默认为

C:\Users\cathy on Windows 7 systems
C:\Winnt\Profiles\cathy on multi-user Windows NT systems
C:\Windows\Profiles\cathy on multi-user Windows 95 systems

http://docs.oracle.com/javase/1.5/docs/tooldocs/windows/keytool.html

Answer 3

使用Java 1.8的Mac OS X 10.12:

$ JAVA_HOME/JRE/lib/security中

cd $JAVA_HOME

/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home

从那里开始:

./jre/lib/security

我有一个cacerts密钥库.

要将其指定为VM选项:

-Djavax.net.ssl.trustStore=/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home/jre/lib/security/cacerts -Djavax.net.ssl.trustStorePassword=changeit

我不是说这是正确的方法(为什么java不知道在JAVA_HOME中查看？),但这是我必须要做的才能让它工作.

Answer 4

您可以在"主页"目录中找到它:

在Windows 7上:

C:\Users\<YOUR_ACCOUNT>\.keystore

在Linux(Ubuntu)上:

/home/<YOUR_ACCOUNT>/.keystore

Answer 5

这对我有用:

#! /bin/bash

CACERTS=$(readlink -e $(dirname $(readlink -e $(which keytool)))/../lib/security/cacerts)

if keytool -list -keystore $CACERTS -storepass changeit > /dev/null ; then
    echo $CACERTS
else
    echo 'Can not find cacerts file.' >&2
    exit 1
fi

仅适用于Linux.我的Solaris没有readlink.最后我使用了这个Perl-Script:

#! /usr/bin/env perl
use strict;
use warnings;
use Cwd qw(realpath);
$_ = realpath((grep {-x && -f} map {"$_/keytool"} split(':', $ENV{PATH}))[0]);
die "Can not find keytool" unless defined $_;
my $keytool = $_;
print "Using '$keytool'.\n";
s/keytool$//;
$_ = realpath($_ . '../lib/security/cacerts');
die "Can not find cacerts" unless -f $_;
my $cacerts = $_;
print "Importing into '$cacerts'.\n";
`$keytool -list -keystore "$cacerts" -storepass changeit`;
die "Can not read key container" unless $? == 0;
exit if $ARGV[0] eq '-d';
foreach (@ARGV) {
    my $cert = $_;
    s/\.[^.]+$//;
    my $alias = $_;
    print "Importing '$cert' as '$alias'.\n";
    `keytool -importcert -file "$cert" -alias "$alias" -keystore "$cacerts" -storepass changeit`;
    warn "Can not import certificate: $?" unless $? == 0;
}

Answer 6

在 Debian 上，使用 openjdk 版本“1.8.0_212”，我在这里找到了 cacerts：

 /etc/ssl/certs/java/cacerts

如果有一个标准命令可以打印出这个路径，肯定会很方便。

Answer 7

正如DimtryB所提到的,默认情况下,密钥库位于用户目录下.但是,如果您尝试更新cacerts文件,以便JVM可以选择密钥,那么您将不得不更新该cacerts文件jre/lib/security.您还可以通过执行命令keytool -list -keystore cacerts来查看密钥,以查看是否添加了证书.

Answer 8

对于使用官方 OpenJDK 12 Docker 映像的我来说，Java 密钥库的位置是：

/usr/java/openjdk-12/lib/security/cacerts