JEP 166:全面改革 JKS-JCEKS-PKCS12 密钥库
概述
通过在 PKCS#12 密钥库中添加等效支持,来促进从 JKS 和 JCEKS 密钥库迁移数据。增强 KeyStore API 以支持新功能,例如条目元数据和跨越多个密钥库的逻辑视图。启用 JEP-121 中引入的强加密算法,以保护密钥库条目。
动机
简化与 Java SE 密钥库进行交互以用于加密应用程序的任务,并简化其开发和部署。
当前默认的密钥库格式是 Java 特有的,在 Java SE 之外不受支持。应用程序需要承担转换为我们的格式或从我们的格式转换出去的负担。促进轻松迁移到一个开放且广泛支持的格式将增强与 Java SE 的互操作性。
描述
Java SE 使用存储在密钥库中的加密信息来实施安全性。目前支持多种密钥库实现。默认的密钥库格式称为 Java 密钥库(JKS)。JKS 是一种特定于 Java 的格式,自诞生以来一直非常强大且服务于该平台。然而,它存在一些局限性,因此需要进行更新。
PKCS#12 是一种更适合作为默认 Java SE 密钥库使用的格式。它是一种开放的规范,受到操作系统、PKI 工具和网络浏览器的广泛支持。尽管它是一种在 Java SE 中已经受支持的密钥库格式,但还需要一些改进,以实现对受信任证书和密钥的安全存储。
此外,长期以来一直存在一个需求,即支持跨越多个物理密钥库的逻辑密钥库。逻辑密钥库消除了直接管理密钥库组的需求。
测试
确保 Mozilla OpenSSL 加密工具包和流行的网络浏览器能够与我们的 PKCS#12 格式进行交互。