Trust Store vs Key Store - création avec keytool

Question

Je crois savoir que le keystore contient généralement les clés privées/publiques et que le trust store ne contient que les clés publiques (et représente la liste des parties de confiance avec lesquelles vous avez l'intention de communiquer). Eh bien, c'est ma première hypothèse, donc si ce n'est pas correct, je n'ai probablement pas très bien commencé...

J'étais cependant intéressé de comprendre comment / quand vous distinguez les magasins lorsque vous utilisez keytool.

Jusqu'à présent, j'ai créé un keystore en utilisant

keytool -import -alias bob -file bob.crt -keystore keystore.ks

qui crée mon fichier keystore.ks. Je réponds yes à la question do I trust bob mais je ne sais pas si cela a créé un fichier keystore ou un fichier truststore ? Je peux configurer mon application pour utiliser le fichier comme l'un ou l'autre.

-Djavax.net.ssl.keyStore=keystore.ks -Djavax.net.ssl.keyStorePassword=x
-Djavax.net.ssl.trustStore=keystore.ks -Djavax.net.ssl.trustStorePassword=x

et avec System.setProperty( "javax.net.debug", "ssl") Je peux voir le certificat sous les certifications de confiance (mais pas dans la section keystore). Le certificat particulier que j'importe n'a qu'une clé publique et j'ai l'intention de l'utiliser pour envoyer des informations à Bob via une connexion SSL (mais peut-être est-ce une autre question !).

Toute indication ou clarification serait très appréciée. Est-ce que la sortie de keytool est la même quelle que soit l'importation et c'est juste une convention qui dit que l'un est un keystore et l'autre un trust store ? Quelle est la relation avec l'utilisation de SSL, etc ?

Answer 1

La terminologie est un peu confuse en effet, mais à la fois javax.net.ssl.keyStore et javax.net.ssl.trustStore sont utilisés pour spécifier les keystores à utiliser, dans deux buts différents. Les référentiels de clés se présentent sous différents formats et ne sont même pas nécessairement des fichiers (cf. cette question ), et keytool n'est qu'un outil permettant d'effectuer diverses opérations sur eux (import/export/list/...).

Le site javax.net.ssl.keyStore et javax.net.ssl.trustStore sont les paramètres par défaut utilisés pour construire KeyManager et TrustManager (respectivement), puis utilisés pour construire une SSLContext qui contient essentiellement les paramètres SSL/TLS à utiliser lors de l'établissement d'une connexion SSL/TLS par l'intermédiaire d'un fichier SSLSocketFactory ou un SSLEngine . Ces propriétés du système sont juste l'endroit d'où proviennent les valeurs par défaut, qui sont alors utilisées par SSLContext.getDefault() lui-même utilisé par SSLSocketFactory.getDefault() par exemple. (Tout ceci peut être personnalisé via l'API à un certain nombre d'endroits, si vous ne souhaitez pas utiliser les valeurs par défaut et que vous avez besoin d'informations spécifiques. SSLContext pour un objectif donné).

La différence entre le KeyManager et TrustManager (et donc entre javax.net.ssl.keyStore et javax.net.ssl.trustStore ) est la suivante (citée du Guide de référence JSSE ) :

TrustManager : Détermine si les les informations d'authentification à distance (et (et donc la connexion) doivent être confiance.

KeyManager : Détermine quelles les informations d'authentification à envoyer à l'hôte distant.

(D'autres paramètres sont disponibles et leurs valeurs par défaut sont décrites dans la section Guide de référence JSSE . Notez que s'il existe une valeur par défaut pour le magasin de confiance, il n'y en a pas pour le magasin de clés).

Essentiellement, le keystore dans javax.net.ssl.keyStore est destiné à contenir vos clés privées et vos certificats, alors que le fichier javax.net.ssl.trustStore est destiné à contenir les certificats de l'autorité de certification auxquels vous êtes prêt à faire confiance lorsqu'une partie distante présente son certificat. Dans certains cas, il peut s'agir d'un seul et même magasin, bien qu'il soit souvent préférable d'utiliser des magasins distincts (surtout lorsqu'ils sont basés sur des fichiers).

Answer 2

Expliquer en termes d'usage/de but commun ou de manière profane :

TrustStore : Comme son nom l'indique, il est normalement utilisé pour stocker les certificats d'entités de confiance. Un processus peut maintenir un magasin de certificats de tous ses partenaires de confiance. en qui il a confiance.

keyStore : Utilisé pour stocker les clés du serveur (publiques et privées) ainsi que le certificat signé.

Pendant la poignée de main SSL,

1. Un client essaie d'accéder à https://

2. Ainsi, le serveur répond en fournissant un certificat SSL (qui est stocké dans son keyStore).

3. Maintenant, le client reçoit le certificat SSL et le vérifie via le trustStore (c'est-à-dire que le trustStore du client a déjà un ensemble prédéfini de certificats auxquels il fait confiance). C'est comme si : Puis-je faire confiance à ce serveur ? S'agit-il du même serveur que celui auquel j'essaie de parler ? Pas d'attaque par un intermédiaire ?

4. Une fois que le client a vérifié qu'il s'adresse à un serveur en qui il a confiance, la communication SSL peut se faire sur une clé secrète partagée.

Note : Je ne parle pas ici de l'authentification du client du côté du serveur. Si un serveur veut aussi faire une authentification client, alors le serveur maintient aussi un trustStore pour vérifier le client. Il s'agit alors de TLS mutuel

Answer 3

Il n'y a pas de différence entre les fichiers keystore et truststore. Tous deux sont des fichiers au format propriétaire JKS. La distinction réside dans l'utilisation : Pour autant que je sache, Java n'utilisera que le magasin référencé par la balise -Djavax.net.ssl.trustStore propriété du système pour rechercher les certificats auxquels il faut faire confiance lors de la création de connexions SSL. Idem pour les clés et les -Djavax.net.ssl.keyStore . Mais en théorie, il est possible d'utiliser un seul et même fichier pour les magasins de confiance et les magasins de clés.

Answer 4

Keystore est utilisé par un serveur pour stocker les clés privées, et Truststore est utilisé par un client tiers pour stocker les clés publiques fournies par le serveur pour y accéder. J'ai fait cela dans mon application de production. Voici les étapes pour générer des certificats java pour la communication SSL :

1. Générer un certificat en utilisant la commande keygen dans Windows :

keytool -genkey -keystore server.keystore -alias mycert -keyalg RSA -keysize 2048 -validity 3950

2. Autocertifier le certificat :

keytool -selfcert -alias mycert -keystore server.keystore -validity 3950

3. Exporter le certificat dans un dossier :

keytool -export -alias mycert -keystore server.keystore -rfc -file mycert.cer

4. Importer le certificat dans le Truststore du client :

keytool -importcert -alias mycert -file mycert.cer -keystore truststore

Answer 5

Voici les étapes pour créer un Truststore dans votre machine locale en utilisant Keytool. Étapes à suivre pour créer un Truststore pour une URL dans votre machine locale.

1) Cliquez sur l'url dans le navigateur en utilisant chrome.

2) Vérifiez que le "i" à gauche de l'url dans le chrome et cliquez dessus.

3) Vérifiez que option de certificat et cliquez dessus. Une boîte de dialogue s'ouvrira.

4) vérifier le "onglet "chemin du certificat pour le nombre de certificats disponibles pour créer le truststore

5) Allez le "details" tab -> click"Copy to File" -> Give the path and the name for the certificate que vous voulez créer.

6) Vérifiez s'il a des certificats parentaux et suivez le point "5" .

7) Après la création de tous les certificats, ouvrez l'invite de commande et naviguez vers le chemin où vous avez créé les certificats.

8) fournir la commande Keytool ci-dessous pour ajouter les certificats et créer un truststore.

Sample: 
   keytool -import -alias abcdefg -file abcdefg.cer -keystore cacerts
        where "abcdefg" is the alias name and "abcdefg.cer" is the actual certificate name and "cacerts" is the truststore name

9) Fournir la commande keytool pour tous les certificats et les ajouter au magasin de confiance.

    keytool -list -v -keystore cacerts