我正在设计一个小工具(Web 界面和 Web 服务),用于使用 RSA 私钥对一些 blob 数据进行签名。应用程序将拥有多个私钥(即,用于不同类型的 blob),将来我们可能会弃用其中的一些密钥(并添加新的)。
问题是我应该将 KeyStore 文件存储在哪里?将它添加到 META-INF 似乎不是一个好主意,因为它会被软件更新覆盖。其他选项是存储到 /etc/myapp/keys.keystore 之类的东西或存储到 blob 列中的表中。
那么,存储密钥库的“规范”方式是什么?
【问题讨论】:
我认为没有规范的方法。也许最好的选择是将密钥库放在应用程序外部,并配置它的位置(例如通过-Dkeystore.location=/home/..(类似于this)。
【讨论】:
过去,我将密钥库存储在文件系统中,作为扩展名为.jks 的文件。有问题的应用程序始终以特定用户身份运行,因此我们将文件放在用户主目录(的子目录)中。然后我们有一些类似于
String keystorePath = System.getProperty("ourapp.keystore.path");
File keystoreFile;
if (keystorePath!=null)
keystoreFile = new File(keystorePath);
else
keystoreFile = new File(System.getProperty("user.home"), "ourapp.jks");
if (!f.exists()) {
// Some sort of whining, return
}
// ...load and deal with keystore...
我认为没有规范的方法可以做到这一点(尽管我可能错了)。这种方式非常适合我们的用例。
【讨论】:
我没有尝试过,但看起来推荐的方法是使用 context.xml 中的环境条目。
Related stackoverflow question here
此外,您如何描述您将如何实施加密听起来可能存在一些问题。阅读用户 erickson 在各种答案中的建议,了解如何正确执行此操作。这是一个开始的问题:Java 256-bit AES Password-Based Encryption
【讨论】: