首页

在 Java 8 中读取使用 OpenJDK16 中的 keytool 创建的 PKCS12 密钥库时的 IOException

ssl java keytool java-16
2022-09-04 21:34:41

TL;DR

keytool从 OpenJDK16 创建无法从 Java 8、9、10 和 11 读取的 PKCS12 密钥库文件。这是一个错误吗?如何创建与Java 8兼容的PKCS12密钥库?

上下文

我构建了一个 Maven 项目,它生成一个可执行的 JAR 文件,该文件必须在从版本 8 到版本 16 的任何 JRE 上运行。该 JAR 文件会生成一个 HTTPS 服务器(使用 com.sun.net.httpserver.HttpsServer)。

在构建过程中,我使用生成密钥对并将其存储在捆绑在JAR中的PKCS12密钥库中(实际上,我使用的是keytool-maven-plugin):keytool

$ /path/to/jdk16/bin/keytool -genkeypair -keystore /tmp/keystore.p12 -storepass password -storetype PKCS12 -alias https -dname "CN=localhost, OU=My HTTP Server, O=Sentry Software, C=FR" -keypass password -validity 3650 -keyalg RSA -sigalg SHA256withRSA

Java 代码使用此自动生成的密钥库来启动 HTTPS 服务器:

// initialize the HTTPS server
httpsServer = HttpsServer.create(socketAddress, 0);

// initialize the keystore
KeyStore keyStore = KeyStore.getInstance("PKCS12");

// Load the self-certificate that is bundled with the JAR (see pom.xml)
InputStream ksStream = this.getClass().getResourceAsStream("/keystore.p12");
keyStore.load(ksStream, "password".toCharArray()); // Exception here

// Rest of the code (only for context purpose)

// setup the key manager factory
String defaultKeyManagerAlgorithm = KeyManagerFactory.getDefaultAlgorithm();
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(defaultKeyManagerAlgorithm);
keyManagerFactory.init(keyStore, "password".toCharArray());

// setup the trust manager factory
String defaultTrustManagerAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(defaultTrustManagerAlgorithm);
trustManagerFactory.init(keyStore);

// setup the HTTPS context and parameters
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);

// Sets the default SSL configuration (no need for extra code here!)
httpsServer.setHttpsConfigurator(new HttpsConfigurator(sslContext));

问题

当JAR使用OpenJDK 16 JDK构建时(并且使用OpenJDK 16),然后在Java 8 JRE中执行,我们在以下位置得到这个异常:keytoolkeyStore.load()

IOException: parseAlgParameters failed: ObjectIdentifier() -- data isn't an object ID (tag = 48)

当在 OpenJDK 11.0.7+10 中执行相同的 JAR 时,我们得到以下异常:

IOException: Integrity check failed: java.security.NoSuchAlgorithmException: Algorithm HmacPBESHA256 not available

但是,当使用OpenJDK 14,15或16执行相同的JAR时,没有例外,一切都可以正常工作。

下表总结了 的版本,以及是否可以在各种 JRE 版本中加载使用 的每个版本创建的 PKCS12 密钥存储:keytoolkeytool

杰瑞 8 JRE 11 杰瑞 14 杰瑞 16
键盘工具 8
键工具 11
键工具 14
键工具 15
键工具 16

问题

这是 中的错误,还是 KeyStore 类中的错误?keytool

如何使用OpenJDK16创建一个PKCS12密钥存储,该密钥存储将在与JRE 8一起加载时工作?

什么是HmacPBESHA256?我没有在命令行中指定此算法。keytool


答案 1

它不是密钥库中的错误。 在 OpenJDK 中,16 已改进为默认使用更安全的算法,Java 8 和 Java 11 不支持这些算法(请参阅 JDK-8228481)。keytoolkeytool

解决问题的2个选项:

  • 对密钥存储使用 JKS 而不是 PKCS12
  • 使用带有的选项设置系统属性,并强制 OpenJDK 16 使用较旧的算法(Java 8 和 11 支持这些算法)-J-Dkeystore.pkcs12.legacykeytoolkeystore.pkcs12.legacykeytool

对于keytool-maven-plugin Maven插件,请使用以下配置:

            <plugin>
                <groupId>org.codehaus.mojo</groupId>
                <artifactId>keytool-maven-plugin</artifactId>
                <version>1.5</version>
                <executions>
                    <execution>
                        <id>create-https-certificate</id>
                        <phase>generate-resources</phase>
                        <goals>
                            <goal>generateKeyPair</goal>
                        </goals>
                        <configuration>
                            <alias>https</alias>
                            <dname>CN=localhost, OU=${project.name}, O=Sentry Software, C=FR</dname>
                            <keyalg>RSA</keyalg>
                            <keypass>password</keypass>
                            <keystore>${project.build.outputDirectory}/keystore.p12</keystore>
                            <sigalg>SHA256withRSA</sigalg>
                            <skipIfExist>true</skipIfExist>
                            <storepass>password</storepass>
                            <storetype>PKCS12</storetype>
                            <validity>3650</validity>
                            <workingDirectory>${project.build.directory}</workingDirectory>
                            <arguments>
                                <!-- Important! Use this to make sure the PKCS12 keystore can be used -->
                                <!-- with Java 8 and 11 -->
                                <!-- See https://bugs.openjdk.java.net/browse/JDK-8228481 -->
                                <!-- See https://stackoverflow.com/questions/67766268/ -->
                                <argument>-J-Dkeystore.pkcs12.legacy</argument>
                            </arguments>
                        </configuration>
                    </execution>
                </executions>
            </plugin>

注意:所有积分都归@dave_thompson_085


答案 2

推荐
更多 »
标签
更多 »
php pass-by-reference optional-parameters default-value javascript arrays dom function string object serialization tostring visibility syntax jslint use-strict operators equality equality-operator identity-operator datetime timestamp date-arithmetic redirect angularjs loops foreach iteration scope variables
推荐
更多 »