我刚刚使用Java keytool创建了一个信任存储库(用于服务器身份验证,服务器没有CA证书)。然而,我刚刚注意到一些奇怪的事情。我是这样启动客户端的:
java -Djavax.net.ssl.trustStore=<PATHSTUFF>/client.keystore -classpath <STUFF> Client
(注意:没有指定密码)
上述调用有效。
然而,当我尝试这样做时:
java -classpath <STUFF> Client
它不起作用。(显然它需要信任库)。
我原本以为需要传递这个选项(但我没有这样做):
-Djavax.net.ssl.trustStorePassword=mypass
密码用于保护密钥库的完整性。如果您没有提供任何存储密码,仍然可以读取密钥库的内容。命令keytool -list演示了这种行为(使用空密码)。
密钥库密码有两个目的——如果没有提供,则keytool会拒绝使用其他新内容替换存储区的内容(例如删除现有条目或添加新的证书条目)。
当然,如果您有写入许可权来使用keytool更新密钥库文件(它不是设置为setuid),则可以使用另一个未检查密码的工具替换内容。我们知道,存储和其格式可以在没有密码的情况下进行读取,因此我们可以在那里写入我们想要的内容。
这就是验证密码的作用。当存储条目被写出时,提供的存储密码用于计算存储内容的摘要,由密码加盐。这是一种单向哈希/摘要,因此如果没有密码,您无法验证存储内容是否已被篡改。同样,恶意的人如果不知道密码也无法修改存储的内容并产生该密码会产生的数字摘要哈希。
这就是为什么当您不提供密码时,keytool只会警告您无法验证存储是否已被篡改。如果您提供了一个无效密码,或者存储已经被篡改,您将收到不同的消息:
Enter keystore password:
keytool error: java.io.IOException: Keystore was tampered with, or password was incorrect
keytool无法根据当前存储内容和您提供的密码重新创建现有的哈希摘要,因此可能是密码不正确或密钥库已被破坏 - keytool无法确定,但假设您或读取该存储的软件知道。keytool -list时得到空列表,因此如果您不知道密码,则无法使用该存储。 - Alexey R.