KeyStore 简述

最新推荐文章于 2025-03-12 19:38:08 发布
最新推荐文章于 2025-03-12 19:38:08 发布
阅读量4.5k 收藏 14
点赞数 5
分类专栏: # Security 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/caplike/article/details/107279898
版权

文章目录

最近做 Auth 会用到 RSA 和 KeyStore 的知识, 补一下~

Java KeyStore 是一个存储密钥记录的"数据库". 一个 java.security.KeyStore class 就代表这样一个 KeyStore. 一个 KeyStore 可以被写到磁盘反复去读, 作为一个整体, 它可以被密码保护, 并且每一个在 KeyStore 中的 key 都可以被其完全独立的密码保护, 大大提高了其安全性.

KeyStore 中 Key 的类型

KeyStore 支持以下类型的 key:

  • Private keys & Public keys + certificates: 公私钥用于非对称加密. 其中公钥可以拥有一个与之匹配的证书. 而证书本身是一个验证拥有这个公钥的个人, 组织或是设备的文件. 证书一般是由认证机构 (CA) 数字签名的, 也可以是自签名的 (但是不会受信任);
  • Secret keys: 用于对称加密;
  • Certificate: 证书本身 (密钥库可以单独存储证书条目), 一张证书包含了一个能认证证书中声明的主语的公钥, 通常被用于服务器授信;

基于 KeyStore 中 Key 的类型以及存储方式, 有一下类型的 KeyStore:

KeyStore 类型

Oracle’s Java Cryptography Architecture

Different types of keystore in Java – Overview

常用:

格式扩展名描述
JKS.jsk/ks[Java Keystore] 密钥库的 Java 实现版本 (sun.security.provider.JavaKeyStore), Provider 为 SUN; 可以保存私钥和其对应公钥的证书; 或是单独的证书;
JCEKS.jce[JCE Keystore (Java Cryptography Extension KeyStore)] 密钥库的 JCE 实现版本 (com.sun.crypto.provider.JceKeyStore), Provider为 SunJCE, JDK1.4 之后才提供; 相对于 JKS 安全级别更高, 是 JKS 的超集, 支持更多算法, 可以保存全部 3 种类型的 Key
PKCS12.p12/.pfx[PKCS #12] 个人信息交换语法标准. 可以用在 JAVA 和其他语言 (C, C++, C#) 中. (sun.security.pkcs12.PKCS12KeyStore), 支持全部 3 种类型的 Key

Api

Code

import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.security.*;
import java.security.cert.Certificate;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.util.Base64;
import java.util.Collections;

/**
 * {@link KeyStore} Helper
 *
 * @author LiKe
 * @version 1.0.0
 * @date 2020-07-11 10:03
 */
public final class KeyStoreHelper {

    /**
     * 获取 KeyStore 的实例
     *
     * @return {@link KeyStore}
     */
    public static KeyStore create() throws KeyStoreException {
        // defaultType: jks
        return KeyStore.getInstance(KeyStore.getDefaultType());
    }

    /**
     * 向 KeyStore 中设值 Key 记录
     *
     * @param keyStore {@link KeyStore}
     */
    public static KeyStore setKeyEntry(KeyStore keyStore) throws CertificateException, NoSuchAlgorithmException, IOException, KeyStoreException {
        // ~ KeyStore 使用前必须加载, 加载一个空的 KeyStore
        keyStore.load(null, "My First Key Store's Password".toCharArray());

        // ~ 生成公私钥
        final KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
        keyPairGenerator.initialize(512);
        final KeyPair keyPair = keyPairGenerator.generateKeyPair();
        final PrivateKey privateKey = keyPair.getPrivate();
        
        System.out.println("Generated PrivateKey: ");
        System.out.println(Base64.getEncoder().encodeToString(privateKey.getEncoded()));

        final PublicKey publicKey = keyPair.getPublic();

        // ~ 把指定的 Key 与指定的别名绑定, 并用指定的密码保护它
        keyStore.setKeyEntry(
                // 别名
                "My First Key Entry",
                privateKey,
                "My First Key Entry's Password".toCharArray(),
                Collections.singletonList(certificate(publicKey)).toArray(new Certificate[1])
        );

        return keyStore;
    }

    public static void main(String[] args) throws Exception {
        final KeyStore keyStore = setKeyEntry(create());

        final KeyStore.ProtectionParameter protectionParameter = new KeyStore.PasswordProtection("My First Key Entry's Password".toCharArray());
        final KeyStore.Entry keyEntry = keyStore.getEntry("My First Key Entry", protectionParameter);

        final KeyStore.PrivateKeyEntry privateKeyEntry = (KeyStore.PrivateKeyEntry) keyEntry;
        final PrivateKey privateKey = privateKeyEntry.getPrivateKey();

        System.out.println("PrivateKey got from keyStore: ");
        System.out.println(Base64.getEncoder().encodeToString(privateKey.getEncoded()));
    }

    /**
     * Description: 生成自签名的证书
     *
     * @param publicKey 公钥
     * @return java.security.cert.Certificate
     * @author LiKe
     * @date 2020-07-14 11:39:09
     */
    private static Certificate certificate(PublicKey publicKey) {
        return new Certificate("Self.Signed") {
            @Override
            public byte[] getEncoded() {
                return publicKey.getEncoded();
            }

            @Override
            public void verify(PublicKey key) {
                // do nothing
            }

            @Override
            public void verify(PublicKey key, String sigProvider) {
                // do nothing
            }

            @Override
            public String toString() {
                return Base64.getEncoder().encodeToString(getEncoded());
            }

            @Override
            public PublicKey getPublicKey() {
                return publicKey;
            }
        };
    }

    /**
     * Description: 生成证书 (X.509)
     *
     * @return java.security.cert.Certificate
     * @author LiKe
     * @date 2020-07-13 15:55:15
     */
    private static Certificate certificate() throws CertificateException {
        final CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");

        final String encodedPublicKey =
                "-----BEGIN CERTIFICATE-----\n" +
                        "MIICxDCCAi0CBECcV/wwDQYJKoZIhvcNAQEEBQAwgagxCzAJBgNVBAYTAlVTMQ4wDAYDVQQIEwVU\n" +
                        "ZXhhczEPMA0GA1UEBxMGQXVzdGluMSowKAYDVQQKEyFUaGUgVW5pdmVyc2l0eSBvZiBUZXhhcyBh\n" +
                        "dCBBdXN0aW4xKDAmBgNVBAsTH0luZm9ybWF0aW9uIFRlY2hub2xvZ3kgU2VydmljZXMxIjAgBgNV\n" +
                        "BAMTGXhtbGdhdGV3YXkuaXRzLnV0ZXhhcy5lZHUwHhcNMDQwNTA4MDM0NjA0WhcNMDQwODA2MDM0\n" +
                        "NjA0WjCBqDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVRleGFzMQ8wDQYDVQQHEwZBdXN0aW4xKjAo\n" +
                        "BgNVBAoTIVRoZSBVbml2ZXJzaXR5IG9mIFRleGFzIGF0IEF1c3RpbjEoMCYGA1UECxMfSW5mb3Jt\n" +
                        "YXRpb24gVGVjaG5vbG9neSBTZXJ2aWNlczEiMCAGA1UEAxMZeG1sZ2F0ZXdheS5pdHMudXRleGFz\n" +
                        "LmVkdTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAsmc+6+NjLmanvh+FvBziYdBwTiz+d/DZ\n" +
                        "Uy2jyvij6f8Xly6zkhHLSsuBzw08wPzr2K+F359bf9T3uiZMuao//FBGtDrTYpvQwkn4PFZwSeY2\n" +
                        "Ynw4edxp1JEWT2zfOY+QJDfNgpsYQ9hrHDwqnpbMVVqjdBq5RgTKGhFBj9kxEq0CAwEAATANBgkq\n" +
                        "hkiG9w0BAQQFAAOBgQCPYGXF6oRbnjti3CPtjfwORoO7ab1QzNS9Z2rLMuPnt6POlm1A3UPEwCS8\n" +
                        "6flTlAqg19Sh47H7+Iq/LuzotKvUE5ugK52QRNMa4c0OSaO5UEM5EfVox1pT9tZV1Z3whYYMhThg\n" +
                        "oC4y/On0NUVMN5xfF/GpSACga/bVjoNvd8HWEg==\n" +
                        "-----END CERTIFICATE-----";

        return certificateFactory.generateCertificate(new ByteArrayInputStream(encodedPublicKey.getBytes()));
    }

}

控制台输出:

Generated PrivateKey: 
MIIBVQIBADANBgkqhkiG9w0BAQEFAASCAT8wggE7AgEAAkEAjVUzHn6SyyBY0McJ8n/0JpvLN+KmSNopMWpkztlIG2aWk8as0QkI0AeBcPY/CQ6SkCFvA+rxzjrit56UHhMS7wIDAQABAkBbnkOJHRwjuVBZ5u032mJ3NL9D9xU8XNAfTI0U2h24RIkOyYAYSwerstf7uF2N2qY7IfYLCUa2Z8FsGwfnIzuhAiEA6A/I2NmYU74e3av4R/R8Zd0pr5BndgWSy0C7EZq4PEUCIQCb6XmCGe/sllcz9qR8hr8gZU5eHdSzZEzWh//OkdiXowIhALneyrRFtOh+QyKx9y9K98hvGFByjSvO0wDRXASBtEcxAiAYXZpxrKAEN1KVelwmYeCIrYxbxQmyp2AivspJfB1/RQIhANl28BoNkX6zYBALqKq+Pncjl5F4GC6DplKtk9j/IIuc
PrivateKey got from keyStore: 
MIIBVQIBADANBgkqhkiG9w0BAQEFAASCAT8wggE7AgEAAkEAjVUzHn6SyyBY0McJ8n/0JpvLN+KmSNopMWpkztlIG2aWk8as0QkI0AeBcPY/CQ6SkCFvA+rxzjrit56UHhMS7wIDAQABAkBbnkOJHRwjuVBZ5u032mJ3NL9D9xU8XNAfTI0U2h24RIkOyYAYSwerstf7uF2N2qY7IfYLCUa2Z8FsGwfnIzuhAiEA6A/I2NmYU74e3av4R/R8Zd0pr5BndgWSy0C7EZq4PEUCIQCb6XmCGe/sllcz9qR8hr8gZU5eHdSzZEzWh//OkdiXowIhALneyrRFtOh+QyKx9y9K98hvGFByjSvO0wDRXASBtEcxAiAYXZpxrKAEN1KVelwmYeCIrYxbxQmyp2AivspJfB1/RQIhANl28BoNkX6zYBALqKq+Pncjl5F4GC6DplKtk9j/IIuc

获取 KeyStore 实例

可以通过如下方式创建一个 KeyStore:

// 默认类型为 jks (Java Key Store), 就是利用 Java Keytool 工具生成的 KeyStore 文件
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());

KeyStore keyStore = KeyStore.getInstance("PKCS12");

加载 KeyStore

使用前, KeyStore 必须被加载. KeyStore 实例通常被写在磁盘上或是以其他类型的方式存储. 这就是为什么 KeyStore 会要求用户在使用前必须先加载. 但是, 初始化一个空的 KeyStore 也是有可能的.

可以调用 KeyStore#load(InputStream, char[]) 方法加载一个 KeyStore:

  1. InputStream 加载 KeyStore 数据的输入流;
  2. KeyStore 密码的字符数组;
char[] keyStorePassword = "123abc".toCharArray();
try(InputStream keyStoreData = new FileInputStream("keystore.ks")){
    keyStore.load(keyStoreData, keyStorePassword);
}

(从 KeyStore 文件中加载)

如果你不想加载任何数据到 KeyStore, 只需要向 InputStream 参数传入 null 值, 例如:

keyStore.load(null, keyStorePassword);

用户总是需要加载一个 KeyStore 的实例, 无论是有数据还是没数据 (inputStream or null). 调用一个没有初始化的 KeyStore 的方法会抛出异常.

获取 KeyEntry

可以通过 getEntry() 方法获取 Key, 一个 KeyStore Entry 被映射到一个标识了 key 的别名, 并且它被 Key 的密码保护. 因此, 要想访问一个 Key, 用户必须向 getEntry() 方法传递 Key 的别名和密码. 以下是访问一个 Key Entry 的例子:

char[] keyPassword = "789xyz".toCharArray();
KeyStore.ProtectionParameter entryPassword =
        new KeyStore.PasswordProtection(keyPassword);

KeyStore.Entry keyEntry = keyStore.getEntry("keyAlias", entryPassword);

如果用户已经知道要访问的 Key Entry 是一个私钥, 可以显示将 KeyStore.Entry 转换成 KeyStore.PrivateKeyEntry:

KeyStore.PrivateKeyEntry privateKeyEntry = (KeyStore.PrivateKeyEntry) keyStore.getEntry("keyAlias", entryPassword);

这样做了之后用户可以调用如下方法:

  • getPrivateKey()
  • getCertificate()
  • getCertificateChain()

设值 KeyEntry

我们也可以手动向 KeyStore 中设值:

SecretKey secretKey = getSecretKey();
KeyStore.SecretKeyEntry secretKeyEntry = new KeyStore.SecretKeyEntry(secretKey);

keyStore.setEntry("keyAlias2", secretKeyEntry, entryPassword);

保存 KeyStore

很多时候, 我们需要将 KeyStore 保存, 例如在磁盘, 数据库等地方, 供稍后有需要的时候再使用. 可以调用 KeyStore 的 store() 方法完成这个操作:

char[] keyStorePassword = "123abc".toCharArray();
try (FileOutputStream keyStoreOutputStream = new FileOutputStream("data/keystore.ks")) {
    keyStore.store(keyStoreOutputStream, keyStorePassword);
}

Reference

【置顶】ARMv8/ARMv9架构入门到精通-[目录]
baron-周贺贺-代码改变世界ctw
06-30 2万+
周贺贺,baron,代码改变世界,coding_the_world,Arm精选,arm_2023,安全启动,加密启动 optee、ATF、TF-A、Trustzone、optee3.14、MMU、VMSA、cache、TLB、arm、armv8、armv9、TEE、安全、内存管理、页表,Non-cacheable,Cacheable, non-shareable,inner-shareable,outer-shareable, optee、ATF、TF-A、Trustzone、optee3.14、MMU、V
java jceks 密钥_Java中不同类型的密钥库(Keystore) – 概述
weixin_31162865的博客
02-13 1254
阅读:877密钥库是用于存储加密密钥和证书的存储工具 ,最常用于SSL通信,以证明服务器和客户端的身份。密钥库可以是文件或硬件设备。有三种类型的条目可以存储在密钥库中,取决于密钥库的类型,这三种类型的条目分别是:PrivateKey:用于非对称加密的密钥,通常由于其敏感性而受密码保护。它还可用于签署数字签名;Certificate证书:证书包含一个公钥,可以识别证书中声明的主题 (Subject)...
Android KeyStore的使用
augfun的博客
06-17 1万+
先来看看官方对他的定义:AndroidKeystore系统可让您将加密密钥存储在容器中,以使其更难从设备中提取。一旦密钥进入密钥库,就可以将其用于加密操作,而密钥材料仍不可导出。而且,它提供了限制何时和如何使用密钥的功能,例如要求用户进行身份验证才能使用密钥,或者限制仅在某些加密模式下使用密钥。定义其实很简单,他就是用来保存加解密的Key和证书的。
keystore秘钥文件
03-25
解压后,可得到一个abc.keystore的文件,里面随便填写了名称,组织单位、城市之类的信息,秘钥口令111111。
Android安全支付(2)-软件架构-KeyStore2-APP到Framework层的调用
最新发布
Android系统开发-VR OS-系统安全隐私
03-12 767
验证签名的真实性,确保交易合法。服务器端预存了APP的公钥,收到请求后,使用该公钥对签名进行验证,确保数据未被篡改。2.在交易请求时,APP使用KeyStore中的私钥对交易数据进行数字签名。这个签名可以保证数据的完整性和真实性。2.将公钥Base64编码后传到服务器端。并且将公钥和用户ID绑定。这里要指定KeyGenParameterSpec的初始化对象。1.首先在应用(钱包)首次安装或首次使用时,在。生成的密钥只能在当前设备上使用,且无法导出。签名交易数据并发送给服务器。,因为私钥永远不会离开设备!
keystore的简单介绍
qq_31860607的博客
07-22 1880
关于keystore的简单介绍 Keytool是一个Java数据证书的管理工具 ,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中。  在keystore里,包含两种数据:  1. 密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)  2. 可信任的证书实体(trusted cer
Java KeyStore的类型
David.turing's Security Blog
05-22 161
JKS和JCEKS是Java密钥库(KeyStore)的两种比较常见类型(我所知道的共有5种,JKS, JCEKS, PKCS12, BKS,UBER)。JKS的Provider是SUN,在每个版本的JDK中都有,JCEKS的Provider是SUNJCE,1.4后我们都能够直接使用它。JCEKS在安全级别上要比JKS强,使用的Provider是JCEKS(推荐),尤其在保护KeyStore中的私...
Keystore的相关用法
Lynn_Blog
07-26 1754
Keytool 是一个有效的安全钥匙和证书的管理工具
Keystore是一个用于存储加密密钥和证书的数据库
BLOG域名:programb.blog.youkuaiyun.com
12-13 996
这是一个基本的示例,展示了如何在Java中加载JKS格式的Keystore。类来创建一个新Keystore或者加载一个已存在的Keystore。如果是加载已存在的Keystore,你需要提供Keystore的路径和密码。JKS(Java KeyStore):这是Java平台默认的Keystore格式,使用专用的密码保护其内容。类来操作Keystore文件。命令执行完成后,如果没有错误提示,那么新的JKS格式的Keystore就创建成功了。在Java中创建一个新的JKS格式的Keystore可以通过使用。
apktool的使用简述
zengrun1992的专栏
10-22 1781
Android apktool是一个用来处理APK文件的工具,可以对APK进行反编译生成程序的源代码和图片、XML配置、语言资源等文件,也可以添加新的功能到APK文件中。常常利用该工具来汉化Android软件然后重新打包发布。
android 指纹存储密码,Android指纹登录/指纹支付简述
weixin_35089715的博客
05-26 1067
一、简述业务需求,需要指纹登录,鉴于市面上的资料不是特别齐全,走了不少弯路。现在通了,写点东西给大伙做个参考。末尾会提供demo和参考资料二、指纹登录/支付工作流程指纹验证加密流程.png最新的流程图请点击链接三、原理解析指纹验证通过FingerprintManager.authenticate()方法即可验证,同时实现FingerprintManager.AuthenticationCallba...
codenameone 的开发及部署过程简述
bo111的专栏
04-01 3785
最近一个开发项目(还在进行中....),需要开发移动设备的应用,需要兼容主流的移动设备,按传统的方式需要在多个平台上使用多个平台的言语进行编码,我在想有没有编码一次可以应用到不同的平台上,上网找了一些资料,开始觉得PoneGap应该满足当前项目的开发要求,PoneGap是一个WebApp的形式(App的表现形式而运行机制是Web的原理),但经过一轮的试用,发现有些特定的功能不能实现,需要开发原生语
KeyStore Explorer
04-02
KeyStore 查看工具,外网也可下载,速度较慢,特意上传一下,供下载。 地址:http://keystore-explorer.org/downloads.html
工行银企互联查询PDF(免费版)
06-19
功能简述: 1、检测NetSafeClient通讯是否正常。 2、查询余额。如果账号的备注信息中包含“保证金”字样,将查询保证金账户的信息。 3、查询明细,含当天明细和历史明细。明细结果最后一栏是“跨行退款跟踪”,自己...
KeyStore是什么
热门推荐
Markix的博客
08-09 1万+
简述 What is the purpose of keystore KeyStore是一个存储库,可用于存储一系列密钥(Secret Key)、密钥对(Key Pair)或证书(Certificate)。 密钥:只有一个钥,一般是对称加密时使用。 密钥对:包含公钥(Public Key)和私钥(Private Key),一般是非对称加密时使用。 KeyStore可以设置密码。 密钥、密钥对、证书在KeyStore统称为Key,每一个Key通过alias(别名)区分。Key也可以设置密码。 JKS(J
JAVA keystore
talent210的专栏
08-03 6572
java签名/证书机制 java签名/证书机制,可以保障使用者,安全地调用外部提供的jar,防止你信任的jar被篡改。 首先,java的签名,必须是基于jar包的。也就是说,你必须将你要提供的class,打包到jar里。 然后,通过 java 提供的签名工具(jarsigner)对jar包进行签名,发布。 签名原理: 使用非对称算法,生成一对公钥/私钥。   证书 证书是在签名基础
Keystore, 数字证书,数字证书文件,私钥,公钥介绍
KimSoft's Blog
09-22 7654
Keytool 是一个有效的安全钥匙和证书的管理工具. Java 中的 keytool.exe (位于 JDK\Bin 目录下)可以用来创建数字证书,所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中,证书库中的一条证书包含该条证书的私钥,公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件,数字证书文件只包括主体信息和对应的公钥。 Keytool 把钥匙和证书储存
KeyStore存储密钥
weixin_43724742的博客
10-20 3548
KeyStore简介和用途,及KeyStore存储AES和RSA密钥的实例
关于keystore的简单介绍
ywb201314的专栏
10-28 3948
关于keystore的简单介绍 Keytool是一个Java数据证书的管理工具 ,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中。 在keystore里,包含两种数据: 1. 密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密) 2. 可信任的证书实体(trusted ce
tomcat 9 支持https ca证书不明文把密码显示
11-05
Tomcat 9 默认情况下并不直接支持将CA证书密码明文存储。为了启用HTTPS并配置自签名证书或者受信任的CA签发的证书,你需要按照以下步骤操作: 1. **配置SSL/TLS**: 在`conf/server.xml`文件中,找到`<Connector>`元素,通常在`<Engine>`标签下。然后添加或更新`sslProtocol`属性,指定TLS版本,并配置`keystore`、`keystorePass`和`truststore`等信息。例如: ```xml <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" sslProtocol="TLS" maxThreads="150" scheme="https" secure="true" SSLEnabled="true" keystoreFile="/path/to/your/keystore.jks" keystorePassword="your-password" truststoreFile="/path/to/your/truststore.jks" truststorePassword="your-trust-store-password"/> ``` 确保替换`/path/to/your`和实际的密码。 2. **创建Keystore和Truststore**: 如果没有,你需要先生成keystore和truststore,可以使用Java Keytool命令行工具: ```sh keytool -file your-ca.crt -keystore path/to/truststore.jks -storepass your-trust-store-password ``` 这里的`ca.crt`是你的CA证书文件,需要替换为实际路径。 3. **安全考虑**: 密码明文存储并不是最佳实践,建议通过环境变量或者其他安全机制来管理敏感信息,避免明文暴露。如果不希望在配置文件中明写密码,可以将其作为环境变量传递给Tomcat进程。 **相关问题--:** 1. 如何修改Tomcat SSL配置而不显示密码? 2. Tomcat如何导入自签名或CA证书? 3. 简述为什么推荐不在配置中明文保存密码?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值