java SSL y cert keytore

¿Cómo sabe mi programa Java dónde está mi almacén de claves que contiene el certificado? O, alternativamente, ¿cómo le digo a mi programa Java dónde buscar el almacén de claves?

Después de especificar el almacén de claves de alguna manera, ¿cómo especificar el certificado que se utilizará para autenticar el servidor al cliente?

System.setProperty("javax.net.ssl.trustStore", path_to_your_jks_file);

Las propiedades SSL se establecen en el nivel JVM a través de las propiedades del sistema. Lo que significa que puede configurarlos cuando ejecuta el programa (java -D ....) O puede configurarlos en código haciendo System.setProperty.

Las teclas específicas que debe configurar están a continuación:

javax.net.ssl.keyStore : ubicación del archivo de almacén de claves Java que contiene el certificado y la clave privada del proceso de una aplicación. En Windows, el nombre de ruta especificado debe usar barras diagonales, /, en lugar de barras diagonales inversas.

javax.net.ssl.keyStorePassword : contraseña para acceder a la clave privada desde el archivo de almacén de claves especificado por javax.net.ssl.keyStore. Esta contraseña se usa dos veces: para desbloquear el archivo del almacén de claves (contraseña de la tienda) y para descifrar la clave privada almacenada en el almacén de claves (contraseña de la clave).

javax.net.ssl.trustStore : ubicación del archivo de almacén de claves Java que contiene la colección de certificados de CA en los que confía este proceso de aplicación (almacén de confianza). En Windows, la ruta especificada debe utilizar barras diagonales, /en lugar de las barras, \.

Si no se especifica una ubicación de almacén de confianza utilizando esta propiedad, la implementación de SunJSSE busca y utiliza un archivo de almacén de claves en las siguientes ubicaciones (en orden):

1. $JAVA_HOME/lib/security/jssecacerts
2. $JAVA_HOME/lib/security/cacerts

javax.net.ssl.trustStorePassword : contraseña para desbloquear el archivo de almacén de claves (contraseña de tienda) especificado por javax.net.ssl.trustStore.

javax.net.ssl.trustStoreType - (Opcional) Para el formato de archivo de almacén de claves Java, esta propiedad tiene el valor jks (o JKS). Normalmente no especifica esta propiedad, porque su valor predeterminado ya es jks.

javax.net.debug : para activar el registro de la capa SSL / TLS, establezca esta propiedad en ssl.

Solo una palabra de precaución. Si está intentando abrir un almacén de claves JKS existente en Java 9 en adelante, debe asegurarse de mencionar también las siguientes propiedades con valor como "JKS":

javax.net.ssl.keyStoreType
javax.net.ssl.trustStoreType

La razón es que el tipo de almacén de claves predeterminado según lo prescrito en el archivo java.security se ha cambiado a pkcs12 desde jks desde Java 9 en adelante.

En primer lugar, hay dos tipos de almacenes de claves.

Individual y general

La aplicación utilizará la indicada en el inicio o la predeterminada del sistema.

Será una carpeta diferente si se está ejecutando JRE o JDK, o si marca la personal o la "global".

También están encriptados

En resumen, el camino será como:

$JAVA_HOME/lib/security/cacerts para el "general", que tiene toda la AC para las Autoridades y es bastante importante.

También puede mencionar la ruta en tiempo de ejecución utilizando las -Dpropiedades a continuación

-Djavax.net.ssl.trustStore=/home/user/SSL/my-cacerts 
-Djavax.net.ssl.keyStore=/home/user/SSL/server_keystore.jks

En mi aplicación apache spark, solía proporcionar la ruta de los certificados y el almacén de claves usando la --confopción y extraJavaoptionsen spark-submit como se muestra a continuación

--conf 'spark.driver.extraJavaOptions= 
-Djavax.net.ssl.trustStore=/home/user/SSL/my-cacerts 
-Djavax.net.ssl.keyStore=/home/user/SSL/server_keystore.jks'