トラストストアとキーストア-keytoolで作成

キーストアは通常、秘密鍵/公開鍵を保持し、トラストストアは公開鍵のみを保持することを理解しています（また、通信する予定の信頼できる当事者のリストを表します）。まあ、それが私の最初の仮定なので、それが正しくない場合、私はおそらくうまくスタートしていません...

しかし、keytoolを使用するときに、どのように/いつ店舗を区別するかを理解することに興味がありました。

これまでのところ、私はキーストアを作成しました

keytool -import -alias bob -file bob.crt -keystore keystore.ks

これにより、keystore.ksファイルが作成されます。yesボブを信頼していますか？という質問に答えますが、これがキーストアファイルを作成したのかトラストストアファイルを作成したのかはわかりません。ファイルをどちらかとして使用するようにアプリケーションを設定できます。

-Djavax.net.ssl.keyStore=keystore.ks -Djavax.net.ssl.keyStorePassword=x
-Djavax.net.ssl.trustStore=keystore.ks -Djavax.net.ssl.trustStorePassword=x

そして、でSystem.setProperty( "javax.net.debug", "ssl")セット、私は、信頼できる証明（ただし、キーストアのセクションの下）の下での証明書を見ることができます。私がインポートしている特定の証明書には公開鍵しかなく、それを使用してSSL接続を介してBobにデータを送信するつもりです（ただし、それは別の質問に任せるのが最善です！）。

ポインタや説明をいただければ幸いです。keytoolの出力は、インポートしたものと同じであり、1つはキーストアで、もう1つはトラストストアであるという規則になっていますか？SSLなどを使用する場合の関係は何ですか？

用語は確かに少し混乱しますが、両方ともjavax.net.ssl.keyStore、javax.net.ssl.trustStore2つの異なる目的で使用するキーストアを指定するために使用されます。キーストアは、さまざまな形式で来ても、必ずしもファイル（参照されないこの質問に）、そしてkeytoolちょうどそれら（インポート/エクスポート/リスト/ ...）上でさまざまな操作を実行するためのツールです。

javax.net.ssl.keyStoreそしてjavax.net.ssl.trustStoreパラメータが構築するために使用されるデフォルトのパラメータであるKeyManagerSとTrustManagerその後構築するために使用されるS（それぞれ）SSLContextを介して、SSL / TLS接続を行う際に、本質的に使用SSL / TLSの設定を含むSSLSocketFactory、またはSSLEngine。これらのシステムプロパティは、デフォルト値の取得元であり、デフォルト値はによってSSLContext.getDefault()使用さSSLSocketFactory.getDefault()れます。（デフォルト値と特定SSLContextの目的のための特定のを使用したくない場合は、APIを使用していくつかの場所でカスタマイズできます。）

KeyManagerとTrustManager（およびjavax.net.ssl.keyStoreとjavax.net.ssl.trustStore）の違いは次のとおりです（JSSE ref guideから引用）。

TrustManager：リモート認証資格情報（つまり接続）を信頼するかどうかを決定します。

KeyManager：リモートホストに送信する認証資格情報を決定します。

（他のパラメーターが使用可能であり、それらのデフォルト値はJSSE参照ガイドで説明されています。トラストストアのデフォルト値はありますが、キーストアのデフォルト値はないことに注意してください。）

基本的に、のキーストアにjavax.net.ssl.keyStoreは秘密鍵と証明書が含まれますが、にjavax.net.ssl.trustStoreは、リモートパーティが証明書を提示するときに信頼してもよいCA証明書が含まれます。場合によっては、それらを1つの同じストアにすることもできますが、個別のストアを使用することをお勧めします（特に、ファイルベースの場合）。

一般的なユースケース/目的または一般的な方法で説明するには：

TrustStore：名前が示すように、信頼されたエンティティの証明書を格納するために通常使用されます。プロセスは、プロセスが信頼するすべての信頼できる当事者の証明書のストアを維持できます。

keyStore：署名済み証明書とともにサーバー鍵（公開鍵と秘密鍵の両方）を格納するために使用されます。

SSLハンドシェイク中に、

1. クライアントがhttps：//にアクセスしようとしています

2. したがって、サーバーはSSL証明書（keyStoreに格納されている）を提供して応答します。

3. これで、クライアントはSSL証明書を受信し、trustStoreを介してそれを検証します（つまり、クライアントのtrustStoreには、事前に定義された一連の証明書が信頼されています）。そのようなもの：このサーバーを信頼できますか？これは私が話そうとしているのと同じサーバーですか？中間者攻撃はありませんか？

4. クライアントは、信頼しているサーバーと通信していることを確認すると、共有秘密鍵を介してSSL通信を行うことができます。

注：ここでは、サーバー側のクライアント認証については何も話していません。サーバーもクライアント認証を実行したい場合、サーバーはクライアントを検証するためのtrustStoreも維持します。

キーストアファイルとトラストストアファイルに違いはありません。どちらも独自のJKSファイル形式のファイルです。区別は使用中です。私の知る限りでは、Javaは-Djavax.net.ssl.trustStoreシステムプロパティによって参照されるストアのみを使用して、SSL接続を作成するときに信頼する証明書を探します。キーとについても同じです-Djavax.net.ssl.keyStore。ただし、理論的には、信頼ストアとキーストアに同じファイルを使用しても問題ありません。

鍵ストアはサーバーが秘密鍵を保管するために使用され、トラストストアはサーバーがアクセスするために提供する公開鍵を保管するためにサードパーティのクライアントが使用します。私は本番アプリケーションでそれを行いました。以下は、SSL通信用のJava証明書を生成する手順です。

1. Windowsでkeygenコマンドを使用して証明書を生成します。

keytool -genkey -keystore server.keystore -alias mycert -keyalg RSA -keysize 2048 -validity 3950

2. 証明書を自己証明します。

keytool -selfcert -alias mycert -keystore server.keystore -validity 3950

3. 証明書をフォルダーにエクスポート：

keytool -export -alias mycert -keystore server.keystore -rfc -file mycert.cer

4. 証明書をクライアントのトラストストアにインポートします。

keytool -importcert -alias mycert -file mycert.cer -keystore truststore

以下は、Keytoolを使用してローカルマシンにトラストストアを作成する手順です。ローカルマシンでURLのトラストストアを作成する手順。

1）Chromeを使用してブラウザのURLにアクセスします

2）「i」を確認しますクロムのURLの左側にアイコンをクリックします

3）証明書オプションを確認するをクリックすると、ダイアログボックスが開きます

4）「証明書パス」タブで、トラストストアの作成に使用できる証明書の数を確認します

5）"details" tab -> click"Copy to File" -> Give the path and the name for the certificate作成するものに移動します。

6）親証明書があるかどうかを確認し、「5」の手順に従います。

7）すべての証明書を作成したら、コマンドプロンプトを開き、証明書を作成したパスに移動します。

8）以下のKeytoolコマンドを提供して、証明書を追加し、トラストストアを作成します。

Sample: 
   keytool -import -alias abcdefg -file abcdefg.cer -keystore cacerts
        where "abcdefg" is the alias name and "abcdefg.cer" is the actual certificate name and "cacerts" is the truststore name

9）すべての証明書にkeytoolコマンドを提供し、それらをトラストストアに追加します。

    keytool -list -v -keystore cacerts

keystoreは秘密鍵を格納するだけで、トラストストアは公開鍵を格納します。SSL通信用のJava証明書を生成する必要があります。あなたはwindowsでkeygenコマンドを使うことができます、これはおそらく最も簡単な解決策でしょう。

最も簡単な言葉で：

キーストアは、トラストストア中に資格情報（サーバーまたはクライアント）を格納するために使用されますを格納するために使用されは他の資格情報（CAからの証明書）を格納するために使用されます。

SSLでサーバー側を設定する場合、キーストアが必要です。これは、サーバーのID証明書を格納するために使用されます。このサーバーは、接続でクライアントに提示し、クライアント側のトラストストアの設定には、接続を機能させるために含める必要があります。ブラウザを使用してSSL経由でWebサイトに接続すると、トラストストアに対してサーバーから提示された証明書が検証されます。