¿Qué tipo de almacén de claves es bueno para aplicaciones basadas en Java / Tomcat?

1

Nuestra aplicación está basada en servidores Java y Tomcat. ¿Qué tipo de keystore es mejor? ¿JKS o PCKS12? Entiendo que JDK keytool crea de forma predeterminada el tipo JSK y, a continuación, ¿para qué casos de uso debería ir el tipo PKCS12?

Intenté crear el almacén de claves PKCS12 pero no puedo generar CSR usando keytool -certq. El comando falla con un error: formato de almacén de claves no válido.

    
pregunta user1493834 08.09.2017 - 09:27
fuente

2 respuestas

1

Tengo entendido que necesita usar un objeto Java KeyStore (JKS) para el manejo en memoria de certificados y claves de todos modos. El hecho de que keytool no sepa qué hacer con una P12 es evidencia de esto. La pregunta es sobre cómo almacenarlo en el disco.

Tanto los archivos JKS como P12 usan un cifrado fuerte. P12 es necesario si desea compartir claves y certificados entre una aplicación basada en java (es decir, Tomcat) y una aplicación C o C ++ (tal vez utilizando openssl debajo del capó). Si su pila es completamente java, entonces no hay razón para que cada proceso desarme el JKS en los archivos P12, y luego haga que cada proceso vuelva a ensamblar los P12 en un JKS.

Piense en P12 como la "Exportación a PDF" del mundo del certificado.

    
respondido por el Mike Ounsworth 08.09.2017 - 17:47
fuente
0

Según enlace parece que PKCS # 12 es La única opción "decente" entre los diferentes keystores. Lo ideal es que también especifique PBEWithHmacSHA512AndAES_256 como PasswordProtection personalizado, como está permitido en Java8.

    
respondido por el iammyr 05.07.2018 - 17:41
fuente

Lea otras preguntas en las etiquetas