Кто из нас не посещал ebay, amazon, чтобы купить что-нибудь, или его личный банковский счет, чтобы проверить это. Считаете ли вы, что эти сайты достаточно безопасны для размещения ваших личных данных, таких как (номер кредитной карты или номер банковского счета и т. Д.)?

Большинство этих сайтов используют протокол Socket Layer (SSL) для защиты своих интернет-приложений. SSL позволяет зашифровывать данные от клиента, такого как веб-браузер, перед передачей, так что кто-то, пытающийся перехватить данные, не сможет их расшифровать.

Многие серверы приложений Java и веб-серверы поддерживают использование хранилищ ключей для конфигурации SSL. Если вы создаете безопасные Java-программы, обучение созданию хранилища ключей является первым шагом.

HTTP-соединение на основе HTTP всегда инициируется клиентом с использованием URL-адреса, начинающегося с https: // вместо http: //. В начале сеанса SSL выполняется рукопожатие SSL. Это рукопожатие производит криптографические параметры сеанса. Упрощенный обзор того, как обрабатывается рукопожатие SSL, показан на диаграмме ниже.

Закрытый ключ содержит идентификационную информацию сервера, а также значение ключа. Он должен хранить этот ключ в безопасности и защищаться паролем, поскольку он используется для согласования хэша во время рукопожатия. Кто-то может использовать его для расшифровки трафика и получения вашей личной информации. Это как оставить ключ от дома в замке.

Публичный сертификат (открытый ключ) — это та часть, которая предоставляется клиенту, ему нравится ваш личный паспорт, когда вы показываете его в аэропорту. Открытый сертификат, тесно связанный с закрытым ключом, создается из закрытого ключа с использованием запроса на подпись сертификата (CSR). После создания личного ключа вы создаете CSR, который отправляется в ваш центр сертификации (CA). CA возвращает подписанный сертификат, который содержит информацию об идентификации сервера и о CA.

Корневой сертификат CA — это сертификат CA, который представляет собой самозаверяющий сертификат. Этот сертификат представляет объект, который выдает сертификат и известен как Центр сертификации или CA, такой как VeriSign, Thawte и т. Д.

Компании, которые будут подписывать сертификаты для вас, такие как VeriSign, Thawte, Commodo, GetTrust. Кроме того, многие компании и учреждения действуют как свои собственные CA, либо создавая полную реализацию с нуля, либо используя опцию с открытым исходным кодом, такую ​​как OpenSSL.

Когда сервер и клиент устанавливают соединение SSL, клиенту предоставляется сертификат; клиент должен определить, доверять ли этому сертификату, этот процесс называется цепочкой сертификатов. Клиент проверяет эмитента сертификата, просматривает его список доверенных корневых сертификатов и сравнивает эмитента в представленном сертификате с субъектами доверенных сертификатов.

Если совпадение найдено, соединение продолжается. Если нет, веб-браузеры могут открыть диалоговое окно, предупреждая вас о том, что он не может доверять сертификату, и предлагая возможность доверять сертификату.

Java Keytool — это утилита управления ключами и сертификатами. Это позволяет пользователям управлять своими собственными парами открытого и закрытого ключей и сертификатами. Java Keytool хранит ключи и сертификаты в так называемом хранилище ключей . Защищает приватные ключи паролем.

Каждый сертификат в хранилище ключей Java связан с уникальным псевдонимом. При создании хранилища ключей Java вы сначала создадите файл .jks, который первоначально будет содержать только закрытый ключ, а затем создадите CSR. Затем вы импортируете сертификат в хранилище ключей, включая любые корневые сертификаты.

Создание хранилища ключей, ключей и запросов сертификатов

• Создать хранилище ключей Java и пару ключей

  1	keytool -genkey -alias mydomain -keyalg RSA -keystore keystore.jks -storepass password

• Создайте запрос на подпись сертификата (CSR) для существующего хранилища ключей Java

  1	keytool -certreq -alias mydomain -keystore keystore.jks -storepass password -file mydomain.csr

• Создать хранилище ключей и самозаверяющий сертификат

  1	keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity 360

Импортные сертификаты

• Импортируйте корневой или промежуточный сертификат CA в существующее хранилище ключей Java

1	keytool -import -trustcacerts -alias root -file Thawte.crt -keystore keystore.jks -storepass password

• Импортируйте подписанный первичный сертификат в существующее хранилище ключей Java

  1	keytool -import -trustcacerts -alias mydomain -file mydomain.crt -keystore keystore.jks -storepass password

Экспортные сертификаты

• Экспорт сертификата из хранилища ключей

  1	keytool -export -alias mydomain -file mydomain.crt -keystore keystore.jks -storepass password

Проверить / Список / Просмотр сертификатов

• Проверьте автономный сертификат

  1	keytool -printcert -v -file mydomain.crt

• Проверьте, какие сертификаты находятся в хранилище ключей Java

  1	keytool -list -v -keystore keystore.jks -storepass password

• Проверьте определенную запись хранилища ключей, используя псевдоним

  1	keytool -list -v -keystore keystore.jks -storepass password -alias mydomain

Удалить сертификаты

• Удалить сертификат из хранилища ключей Java Keytool

  1	keytool -delete -alias mydomain -keystore keystore.jks -storepass password

Изменить пароли

• Изменить пароль хранилища ключей Java

  1	keytool -storepasswd -new new_storepass -keystore keystore.jks -storepass password

• Изменить пароль закрытого ключа

  1	keytool -keypasswd -alias client -keypass old_password -new new_password -keystore client.jks -storepass password