跳到主要内容

JEP 166:检修 JKS-JCEKS-PKCS12 密钥库

概括

通过向 PKCS#12 密钥库添加等效支持,促进从 JKS 和 JCEKS 密钥库迁移数据。增强 KeyStore API 以支持新功能,例如跨越多个密钥库的条目元数据和逻辑视图。启用 JEP-121 中引入的强加密算法来保护密钥库条目。

动机

简化加密应用程序与 Java SE 密钥库交互的任务,并简化其开发和部署。

当前的默认密钥库格式是 Java 特定的,在 Java SE 之外不受支持。应用程序承受着与我们的格式之间的转换的负担。促进轻松迁移到开放的、广泛支持的格式将增强与 Java SE 的互操作性。

描述

Java SE 使用存储在密钥库中的加密信息来增强安全性。目前支持多种密钥库实现。默认密钥库格式称为 Java 密钥库 (JKS)。 JKS 是一种 Java 特定的格式,非常强大,自诞生以来一直很好地服务于该平台。但是,它存在一些限制,应该进行更新。

PKCS#12 是更适合用作默认 Java SE 密钥库的格式。它是一种开放规范,受到操作系统、PKI 工具和 Web 浏览器的广泛支持。尽管它是 Java SE 中已支持的密钥库格式,但仍需要进行一些增强才能存储受信任的证书和密钥。

此外,长期以来一直存在支持跨多个物理密钥库的逻辑密钥库的要求。逻辑密钥库消除了直接管理密钥库组的要求。

测试

确保 Mozilla OpenSSL Crypto Toolkit 和流行的 Web 浏览器可以与我们的 PKCS#12 格式交互。