Comment savoir quel keystore utilise ma JVM?

J'ai besoin d'importer un certificat dans mon keystore JVM. J'utilise ce qui suit:

keytool -import -alias daldap -file somecert.cer

je devrais donc probablement changer mon appel en quelque chose comme:

keytool -import -alias daldap -file somecert.cer -keystore cacerts –storepass changeit

Votre keystore sera dans votre fichier JAVA_HOME---> JRE -->lib---> security--> cacerts. Vous devez vérifier où votre JAVA_HOME est configuré, éventuellement l'un de ces endroits,

1. Ordinateur ---> Avancé -> Variables d'environnement ---> JAVA_HOME

2. Les fichiers de commandes de démarrage de votre serveur.

Dans votre commande d'importation -keystore cacerts (indiquez ici le chemin complet du JRE ci-dessus au lieu de simplement dire cacerts).

Emplacement du keystore

Chaque commande keytool a une -keystoreoption pour spécifier le nom et l'emplacement du fichier de keystore persistant pour le keystore géré par keytool. Le keystore est par défaut stocké dans un fichier nommé .keystoredans le répertoire de base de l'utilisateur, tel que déterminé par la propriété système "user.home". Étant donné le nom d'utilisateur uName, la valeur de la propriété "user.home" est par défaut

C:\Users\uName on Windows 7 systems
C:\Winnt\Profiles\uName on multi-user Windows NT systems
C:\Windows\Profiles\uName on multi-user Windows 95 systems
C:\Windows on single-user Windows 95 systems

Ainsi, si le nom d'utilisateur est "cathy", "user.home" prend la valeur par défaut

C:\Users\cathy on Windows 7 systems
C:\Winnt\Profiles\cathy on multi-user Windows NT systems
C:\Windows\Profiles\cathy on multi-user Windows 95 systems

http://docs.oracle.com/javase/1.5/docs/tooldocs/windows/keytool.html

Mac OS X 10.12 avec Java 1.8:

$ JAVA_HOME / jre / lib / sécurité

cd $JAVA_HOME

/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home

De là, c'est dans:

./jre/lib/security

J'ai un keystore cacerts là-dedans.

Pour spécifier ceci comme option VM:

-Djavax.net.ssl.trustStore=/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home/jre/lib/security/cacerts -Djavax.net.ssl.trustStorePassword=changeit

Je ne dis pas que c'est la bonne façon (pourquoi java ne sait-il pas regarder dans JAVA_HOME?), Mais c'est ce que j'ai dû faire pour que cela fonctionne.

Vous pouvez le trouver dans votre répertoire "Accueil":

Sous Windows 7:

C:\Users\<YOUR_ACCOUNT>\.keystore

Sous Linux (Ubuntu):

/home/<YOUR_ACCOUNT>/.keystore

Cela fonctionne pour moi:

#! / bin / bash

CACERTS = $ ( readlink - e $ ( dirname $ ( readlink - e $ ( quel keytool ))) /../ lib / security / cacerts )

if keytool - list - keystore $ CACERTS - storepass changeit > / dev / null ;  puis
    echo $ CACERTS
else 
    echo 'Impossible de trouver le fichier cacerts.' > & 2 
    sortie 1 fi 

Uniquement pour Linux. Mon Solaris n'a pas de lien de lecture. À la fin, j'ai utilisé ce Perl-Script:

#! / usr / bin / env perl use strict ; utiliser des avertissements

 ; utilisez Cwd qw ( realpath ); 
$ _ = chemin réel (( grep {- x && - f } carte { "$ _ / keytool" } split ( ':' , $ ENV { CHEMIN })) [ 0 ]); die "Impossible de trouver keytool" sauf si défini $ _ ; my "Utilisation de '$ keytool'. \ n"
  
  
 $ keytool = $ _ ; impression
  ; 
s / keytool $ / /;
$ _ = chemin réel ($ _. '../ lib / security / cacerts ');
die "Impossible de trouver les cacerts" sauf si -f $ _;
mes $ cacerts = $ _;
print "Importation dans ' $ cacerts '. \ n";
`$ keytool -list -keystore" $ cacerts "-storepass changeit`;
die "Impossible de lire le conteneur de clé" à moins que $? == 0;
exit si $ ARGV [0] eq ' - d ';
foreach (@ARGV) {
    mon $ cert = $ _;
    s /\.[^.edral+$//;
    mon $ alias = $ _;
    print "Importation de ' $ cert ' en tant que ' $ alias '. \ n";
    `keytool -importcert -file" $ cert "-alias" $ alias "-keystore" $ cacerts "-storepass changeit`;
    warn "Impossible d'importer le certificat: $?" à moins que $? == 0;
}

Comme DimtryB l'a mentionné, par défaut, le keystore se trouve sous le répertoire utilisateur. Mais si vous essayez de mettre à jour le cacertsfichier, afin que la JVM puisse choisir les clés, vous devrez mettre à jour le cacertsfichier sous jre/lib/security. Vous pouvez également afficher les clés en exécutant la commande keytool -list -keystore cacertspour voir si votre certificat est ajouté.

Sur Debian, en utilisant la version openjdk "1.8.0_212", j'ai trouvé des cacerts ici:

 /etc/ssl/certs/java/cacerts

Bien sûr, ce serait pratique s'il y avait une commande standard qui imprimerait ce chemin.

Pour moi, en utilisant l'image officielle OpenJDK 12 Docker , l'emplacement du keystore Java était:

/usr/java/openjdk-12/lib/security/cacerts

Nous avons rencontré ce problème sur un Tomcat fonctionnant à partir d'un répertoire jre qui a été (presque entièrement) supprimé après une mise à jour automatique de jre, de sorte que le jre en cours d'exécution ne pouvait plus trouver jre ... / lib / security / cacerts car il n'existait plus.

Le redémarrage de Tomcat (après avoir modifié la configuration pour s'exécuter à partir d'un autre emplacement jre) a résolu le problème.

En plus de toutes les réponses ci-dessus:

Si la mise à jour du fichier cacerts dans le répertoire JRE n'aide pas, essayez de le mettre à jour dans JDK.

C: \ Program Files \ Java \ jdk1.8.0_192 \ jre \ lib \ security