Keystore 和 Truststore 之间的区别

Keystore 和 Truststore 之间的区别

引用

CSDN

1.

https://m.blog.csdn.net/QWQ123Q/article/details/139012859

密钥库（Keystore）和信任库（Truststore）对于SSL证书通信都非常重要，也是必不可少的组件。尽管它们在结构上非常相似，都由关键工具命令管理，但它们的功能和使用场景却有本质的区别。

功能对比

信任库用于存储来自受信任证书颁发机构（CA）的证书，主要用于验证服务器在SSL连接中提供的证书。而Keystore则用于存储私钥和自己的身份证书，用于在SSL连接中进行身份识别和验证。

在SSL握手过程中，Truststore负责验证凭据，而Keystore则负责提供这些凭据。这是两者之间最重要的区别，但并非唯一区别。

Java环境中的具体差异

• 使用场景：信任库由信任管理器使用，而密钥库由密钥管理器使用，它们执行不同的功能。
• 内容差异：密钥库包含私钥，仅当服务器在SSL连接上运行时才需要；而信任库存储公钥和证书颁发机构颁发的证书。
• 配置参数：在Java中，指定密钥库或信任库的路径需要使用不同的扩展名。例如，密钥库使用-Djavax.net.ssl.keyStore，而信任库使用-Djavax.net.ssl.trustStore。
• 密码管理：两者的密码也存在差异。密钥库的密码由-Djavax.net.ssl.keyStorePassword提供，而信任库的密码由-Djavax.net.ssl.trustStorePassword提供。
• 私钥数量：密钥库包含主机的一个私钥，而信任库则不包含任何私钥。

安全注意事项

• 密钥库安全性：由于密钥库包含私钥，因此其安全性要求非常严格。在Hadoop SSL环境中，密钥库和密钥密码必须以明文形式存储在只有相应组的成员才能读取的文件中。
• 信任库安全性：由于信任库不包含任何私有和敏感信息，因此整个集群通常只需要一个信任库即可。但是，Truststore和Keystore的密码不应相同，因为Truststore的密码存储在明文文件中，对所有人都可见。如果密钥库使用相同的密码，将容易受到恶意攻击。

Truststore的创建

如果使用默认信任库，可能需要添加或删除证书颁发机构（CA）。如果要创建自定义信任库，则需要通过将受信任的证书导入到新的信任库中来构建信任库。创建信任库时，必须创建/选择密码，并且对于给定服务，密码应相同。

总结

密钥库的主要目的是通过使用基于密码的算法来保护隐私和完整性。这些密钥是保密的，以确保它们的安全并免受不需要的第三方的侵害，并且只有拥有密码的人才能访问。