Nuestra aplicación está basada en servidores Java y Tomcat. ¿Qué tipo de keystore es mejor? ¿JKS o PCKS12? Entiendo que JDK keytool crea de forma predeterminada el tipo JSK y, a continuación, ¿para qué casos de uso debería ir el tipo PKCS12?
Intenté crear el almacén de claves PKCS12 pero no puedo generar CSR usando keytool -certq. El comando falla con un error: formato de almacén de claves no válido.
Tengo entendido que necesita usar un objeto Java KeyStore (JKS) para el manejo en memoria de certificados y claves de todos modos. El hecho de que keytool no sepa qué hacer con una P12 es evidencia de esto. La pregunta es sobre cómo almacenarlo en el disco.
Tanto los archivos JKS como P12 usan un cifrado fuerte. P12 es necesario si desea compartir claves y certificados entre una aplicación basada en java (es decir, Tomcat) y una aplicación C o C ++ (tal vez utilizando openssl debajo del capó). Si su pila es completamente java, entonces no hay razón para que cada proceso desarme el JKS en los archivos P12, y luego haga que cada proceso vuelva a ensamblar los P12 en un JKS.
Piense en P12 como la "Exportación a PDF" del mundo del certificado.
Lea otras preguntas en las etiquetas cryptography key-generation java pkcs12