Como descubro qual keystore minha JVM está usando?

Preciso importar um certificado para meu keystore da JVM. Estou usando o seguinte:

keytool -import -alias daldap -file somecert.cer

então provavelmente precisaria mudar minha ligação para algo como:

keytool -import -alias daldap -file somecert.cer -keystore cacerts –storepass changeit

Seu keystore estará no seu JAVA_HOME---> JRE -->lib---> security--> cacerts. Você precisa verificar onde seu JAVA_HOME está configurado, possivelmente um desses lugares,

1. Computador ---> Avançado -> Variáveis ​​de ambiente ---> JAVA_HOME

2. Os arquivos em lote de inicialização do servidor.

No seu comando de importação -keystore cacerts (forneça o caminho completo para o JRE acima aqui em vez de apenas dizer cacerts).

Localização do Keystore

Cada comando keytool possui uma -keystoreopção para especificar o nome e o local do arquivo persistente de keystore para o keystore gerenciado pelo keytool. O keystore é armazenado por padrão em um arquivo nomeado .keystoreno diretório inicial do usuário, conforme determinado pela propriedade do sistema "user.home". Com o nome de usuário uName, o valor da propriedade "user.home" é padronizado como

C:\Users\uName on Windows 7 systems
C:\Winnt\Profiles\uName on multi-user Windows NT systems
C:\Windows\Profiles\uName on multi-user Windows 95 systems
C:\Windows on single-user Windows 95 systems

Portanto, se o nome do usuário for "cathy", "user.home" será padronizado como

C:\Users\cathy on Windows 7 systems
C:\Winnt\Profiles\cathy on multi-user Windows NT systems
C:\Windows\Profiles\cathy on multi-user Windows 95 systems

http://docs.oracle.com/javase/1.5/docs/tooldocs/windows/keytool.html

Mac OS X 10.12 com Java 1.8:

$ JAVA_HOME / jre / lib / security

cd $JAVA_HOME

/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home

A partir daí, está em:

./jre/lib/security

Eu tenho um keystore de cacerts lá.

Para especificar isso como uma opção de VM:

-Djavax.net.ssl.trustStore=/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home/jre/lib/security/cacerts -Djavax.net.ssl.trustStorePassword=changeit

Não estou dizendo que esta é a maneira correta (por que o java não sabe procurar dentro de JAVA_HOME?), Mas é isso que eu tinha que fazer para fazê-lo funcionar.

Você pode encontrá-lo no diretório "Página inicial":

No Windows 7:

C:\Users\<YOUR_ACCOUNT>\.keystore

No Linux (Ubuntu):

/home/<YOUR_ACCOUNT>/.keystore

Isso funciona para mim:

#! / bin / bash

CACERTS = $ ( readlink - e $ ( dirname $ ( readlink - e $ ( que ferramenta )))) /../ lib / security / cacerts )

if keytool - list - keystore $ CACERTS - storepass changeit > / dev / null ; então  
    eco $ CACERTS
else 
    echo 'Não foi possível encontrar o arquivo cacerts.' > & 2 
    saída 1 fi 

Somente para Linux. Meu Solaris não possui link de leitura. No final, eu usei este Perl-Script:

#! / usr / bin / env perl use strict ; use avisos ; use Cwd qw ( caminho real ); 
$ _ = realpath (( grep {- x && - f } mapa { "$ _ / keytool" ) split ( ':' , $ ENV { PATH })) [ 0 ]); die "Não é possível encontrar o keytool", a menos que seja definido $ _ ; minha $ keytool = $ _ ; impressão


  
  

 "Usando '$ keytool'. \ N" ; 
s / keytool $ / /;
$ _ = caminho real ($ _. '../ lib / security / cacerts ');
die "Não é possível encontrar cacerts", a menos que -f $ _;
meus $ cacerts = $ _;
print "Importando para ' $ cacerts '. \ n";
`$ keytool -list -keystore" $ cacerts "-storepass changeit`;
die "Não é possível ler o contêiner de chaves", a menos que $? == 0;
exit se $ ARGV [0] eq ' - d ';
foreach (@ARGV) {
    meu $ cert = $ _;
    s /\.//^.
    meu $ alias = $ _;
    print "Importando ' $ cert ' como ' $ alias '. \ n";
    `keytool -importcert -file" $ cert "-alias" $ alias "-keystore" $ cacerts "-storepass changeit`;
    aviso "Não é possível importar o certificado: $?" a menos que $? == 0;
}

Como o DimtryB mencionou, por padrão, o keystore está no diretório do usuário. Mas se você estiver tentando atualizar o cacertsarquivo, para que a JVM possa escolher as chaves, será necessário atualizar o cacertsarquivo em jre/lib/security. Você também pode visualizar as chaves executando o comando keytool -list -keystore cacertspara ver se seu certificado foi adicionado.

No Debian, usando a versão openjdk "1.8.0_212", encontrei cacerts aqui:

 /etc/ssl/certs/java/cacerts

Certamente seria útil se houvesse um comando padrão que imprimisse esse caminho.

Para mim, usando a imagem oficial do OpenJDK 12 Docker , o local do keystore Java era:

/usr/java/openjdk-12/lib/security/cacerts

Encontramos esse problema em um Tomcat executando a partir de um diretório jre que foi (quase totalmente) removido após uma atualização automática do jre, para que o jre em execução não pudesse mais encontrar o jre ... / lib / security / cacerts porque ele não existia mais.

Reiniciar o Tomcat (depois de alterar a configuração para executar a partir do local diferente do jre) corrigiu o problema.

Além de todas as respostas acima:

Se a atualização do arquivo cacerts no diretório JRE não ajudar, tente atualizá-lo no JDK.

C: \ Arquivos de programas \ Java \ jdk1.8.0_192 \ jre \ lib \ security