我有一个非常简单的场景:
public class Main {
public static void main(String[] args) {
System.setProperty("javax.net.debug", "ssl");
System.setProperty("javax.net.ssl.trustStore", "H:/data/serverkeystore.jks");
System.setProperty("javax.net.ssl.trustStorePassword", "somestuff");
try {
ServerSocketFactory ssf = (SSLServerSocketFactory) SSLServerSocketFactory.getDefault();
SSLServerSocket serverSocket = (SSLServerSocket) ssf.createServerSocket(1337);
... code goes on here ...
我是否评论该行并不重要
System.setProperty("javax.net.ssl.trustStorePassword", "somestuff");
或者如果我使用它。在this的答案中问题中,很好地描述了密码的用途(即使那里缺少源信息),并且如果未给出密码,则无法验证 TrustStore 的完整性。因此,在我的示例代码中,如果取消注释该行,Java 将使用 TrustStore 而不检查其完整性。通过我自己的测试,我可以确定如果我输入错误的密码并使用代码(如上所示),则会出现错误消息(这是期望的结果)。我只是感到惊讶的是,可以省略密码,然后 Java 显然可以与未经检查的 TrustStore 一起使用。任何人都可以根据我的问题解释 TrustStore 的初始化例程吗?
正如问题中已经提到的,我使用自己的 TrustStore 密码,该密码与标准密码“changeit”不同。
最佳答案
它甚至取决于 SPI (JCE) 实现,实际上您不需要任何密码即可列出 JKS 存储。
证书不是保密的,但您不希望任何人篡改系统应信任的证书列表(例如提供恶意/虚假根 CA)。
应该有一种方法来强制信任库的信任(密码应该是 已验证)。如果密码错误的话会失败吗?
Yes it will fail, and if you don't provide a password you can't update the truststore
确实,这是预期的行为。对于 JKS keystore ,您可以列出没有任何密码的条目和证书,但无法验证完整性。无论如何,您应该在您的应用程序中提供密码,以确保没有人使用您的信任库。
关于java - 为什么可以在不提供密码的情况下指向使用自定义密码的信任库?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58555309/