Як дізнатися, який магазин брелоків використовує мій JVM?

Мені потрібно імпортувати сертифікат у свою сховище JVM. Я використовую наступне:

keytool -import -alias daldap -file somecert.cer

тому мені, мабуть, потрібно змінити свій дзвінок на щось подібне:

keytool -import -alias daldap -file somecert.cer -keystore cacerts –storepass changeit

Ваша сховище ключів буде у вашому JAVA_HOME---> JRE -->lib---> security--> cacerts. Вам потрібно перевірити, де налаштовано ваш JAVA_HOME, можливо, одне з цих місць,

1. Комп'ютер ---> Додатково -> Змінні середовища ---> JAVA_HOME

2. Пакетні файли запуску вашого сервера.

У вашій команді імпорту -keystore cacerts (введіть повний шлях до вищевказаного JRE тут, а не просто кажуть).

Розташування клавіатури

Кожна команда keytool має -keystoreможливість вказати ім'я та місце розташування стійкого файлу зберігання ключів для зберігання ключів, керованого keytool. За замовчуванням зберігання клавіш зберігається у файлі, названому .keystoreв домашній директорії користувача, що визначається властивістю системи "user.home". З огляду на ім’я користувача uName, значення властивості "user.home" за замовчуванням до

C:\Users\uName on Windows 7 systems
C:\Winnt\Profiles\uName on multi-user Windows NT systems
C:\Windows\Profiles\uName on multi-user Windows 95 systems
C:\Windows on single-user Windows 95 systems

Таким чином, якщо ім'я користувача "cathy", "user.home" за замовчуванням до

C:\Users\cathy on Windows 7 systems
C:\Winnt\Profiles\cathy on multi-user Windows NT systems
C:\Windows\Profiles\cathy on multi-user Windows 95 systems

http://docs.oracle.com/javase/1.5/docs/tooldocs/windows/keytool.html

Mac OS X 10.12 з Java 1.8:

$ JAVA_HOME / jre / lib / безпека

cd $JAVA_HOME

/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home

Звідти це:

./jre/lib/security

У мене там зберігається брелок для ключів.

Щоб вказати це як параметр VM:

-Djavax.net.ssl.trustStore=/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home/jre/lib/security/cacerts -Djavax.net.ssl.trustStorePassword=changeit

Я не кажу, що це правильний спосіб (чому ява не знає шукати всередині JAVA_HOME?), Але це те, що я повинен був зробити, щоб він працював.

Ви можете знайти його у своєму каталозі "Домашня сторінка":

У Windows 7:

C:\Users\<YOUR_ACCOUNT>\.keystore

У Linux (Ubuntu):

/home/<YOUR_ACCOUNT>/.keystore

Це працює для мене:

#! / бін / баш

CACERTS = $ ( readlink - e $ ( dirname $ ( readlink - e $ ( який keytool ))) /../ lib / security / cacerts )

якщо keytool - список - зберігання ключів $ CACERTS - storepass changeit > / dev / null ; тоді  
    echo $ CACERTS
else 
    echo "Неможливо знайти файл cacerts." > & 2 
    вихід 1 fi 

Тільки для Linux. Мій Solaris не має посилання для читання. Врешті-решт я використав цей Perl-скрипт:

#! / usr / bin / env perl використовувати суворо ; використовувати попередження ; використовувати Cwd qw ( realpath ); 
$ _ = realpath (( grep {- x && - f } map { "$ _ / keytool" } split ( ':' , $ ENV { PATH })) [ 0 ]);


  
die "Неможливо знайти keytool", якщо не визначено $ _ ; мій $ keytool = $ _ ; друк  

 "Використання" $ keytool ". \ N" ; 
s / keytool $ / /;
$ _ = realpath ($ _. '../ lib / security / cacerts ');
die "Не можу знайти какадери", якщо тільки -f $ _;
мої $ cacerts = $ _;
друк "Імпорт у" $ cacerts ". \ n";
`$ keytool -list -keystore" $ cacerts "- зберігання змін";
die "Неможливо прочитати контейнер з ключами", якщо не є $? == 0;
вихід, якщо $ ARGV [0] eq ' - d ';
foreach (@ARGV) {
    мій $ cert = $ _;
    s /\. evidence^.Sense+$//;
    мій $ псевдонім = $ _;
    друкувати "Імпорт" $ cert "як" $ псевдонім ". \ n";
    `keytool -importcert -file" $ cert "-alias" $ alias "-keystore" $ cacerts "-storepass changeit`;
    попередити "Не можна імпортувати сертифікат: $?" хіба що $? == 0;
}

Як згадував DimtryB, за замовчуванням зберігання клавіш знаходиться під каталогом користувачів. Але якщо ви намагаєтесь оновити cacertsфайл, щоб JVM міг вибрати ключі, тоді вам доведеться оновити cacertsфайл у розділі jre/lib/security. Ви також можете переглянути клавіші, виконавши команду, keytool -list -keystore cacertsщоб побачити, чи доданий ваш сертифікат.

У Debian, використовуючи Openjdk версію "1.8.0_212", я знайшов тут касети:

 /etc/ssl/certs/java/cacerts

Звичайно, було б зручно, якби була стандартна команда, яка роздрукувала б цей шлях.

Для мене, використовуючи офіційне зображення OpenJDK 12 Docker , розташування сховища Java було таким:

/usr/java/openjdk-12/lib/security/cacerts

Ми зіткнулися з цією проблемою на Tomcat, який працює з каталогу jre, який був видалений (майже повністю) після автоматичного оновлення jre, так що запущений jre більше не міг знайти jre ... / lib / security / cacerts, оскільки його більше не існувало.

Перезапуск Tomcat (після зміни конфігурації для запуску з іншого jre-місця) вирішив проблему.

На додаток до всіх відповідей вище:

Якщо оновлення файлу кесерів у каталозі JRE не допомагає, спробуйте оновити його в JDK.

C: \ програмні файли \ Java \ jdk1.8.0_192 \ jre \ lib \ безпека