您不需要密码来访问信任库（使用 java keytool 创建）吗？

Question

我刚刚使用 java keytool 创建了一个信任库（用于对没有 CA 证书的服务器进行服务器身份验证）。但是我刚刚注意到一些奇怪的事情。我是这样开始我的客户的：

java -Djavax.net.ssl.trustStore=<PATHSTUFF>/client.keystore -classpath <STUFF> Client

（注意：没有指定密码）

上述调用有效。

---

但是当我尝试这个时：

java -classpath <STUFF> Client

它不起作用。 （显然它不起作用，它需要信任库）。

---

我原以为需要传入这个选项（但我没有）：

-Djavax.net.ssl.trustStorePassword=mypass

---

问题：访问信任库不需要密码吗？密码只是为了修改吗？那么密钥库呢？

Answer 1

密码用于保护密钥库的完整性。如果您不提供任何存储密码，您仍然可以读取密钥库的内容。命令keytool -list 演示了这种行为（使用空密码）。

Answer 2

除了pascal-thivent's excellent answer：

密钥库密码有两个用途 - 如果未提供，keytool 拒绝让您将存储的内容替换为新内容，例如通过删除现有的或添加新的证书条目。

当然，如果您拥有使用keytool（不是setuid）更新密钥库文件的写入权限，您可以使用另一个不检查密码的工具替换内容。而且我们知道商店及其格式无需密码即可读取，所以大概我们可以在那里写下我们想要的内容。

这就是验证密码的来源。当存储条目被写出时，提供的存储密码用于计算存储内容的摘要，由密码加盐。这是一种单向哈希/摘要，因此没有密码，您无法验证存储内容是否已被篡改。同样，不知道密码的恶意人员也无法修改存储的内容并生成由该密码生成的摘要哈希。

这就是为什么当您提供无密码时，keytool 只是警告您它无法验证商店未被篡改。如果您提供的密码无效，或者商店已被篡改，您将收到不同的消息：

Enter keystore password:
keytool error: java.io.IOException: Keystore was tampered with, or password was incorrect

keytool 无法根据当前存储内容和您提供的密码重新创建现有的哈希摘要，因此密码不正确或密钥库已泄露 - keytool 无法判断，但它假设您或读取商店的软件都知道。

请注意，虽然通常使用术语 keystore，但它同样指的是 keystores 和 truststores。不太一般地，keystore 更常见的是 identity store 并包含身份及其秘密、私钥，例如使用的通过运行 HTTPS 的服务器。 truststore 通常只包含公钥而不包含私钥，因此没有秘密，但对于确定 client 信任哪些身份很重要。

Answer 3

如果您不指定信任库，则使用默认的信任库。我假设您收到一个错误，您需要指定一个信任库才能信任您请求的主机？默认信任库位于 $JAVA_HOME/lib/security/jssecacerts。

Answer 4

默认情况下，JRE 信任库密码是“changeit”。如果您想使用 Java 以编程方式更改默认信任存储 (cacerts) 密码，请通过this link。