如何解决从 WebSphere Liberty Profile (WLP) 中的密钥库以编程方式获取公钥的最佳实践
我目前使用以下代码从 WebSphere Application Server 完整配置文件中的密钥库的证书中获取公钥:
KeySetManager keySetMgr = KeySetManager.getInstance();
WSKeySet keySet = keySetMgr.getKeySet(KEY_SET_NAME);
KeyReference[] allKeyReferences = keySet.getAllKeyReferences();
for (int i = 0; i < allKeyReferences.length; ++i) {
try {
KeyReference kref = allKeyReferences[i];
String keyAlias = kref.getKeyAlias();
if (!SIGNER_CERT_ALIAS.equals(keyAlias)) { continue; }
WSKeyStore wsKeyStore = kref.getWSKeyStore();
String location = wsKeyStore.getLocation();
String type = wsKeyStore.getProperty("com.ibm.ssl.keyStoreType");
String name = wsKeyStore.getProperty("com.ibm.ssl.keyStoreName");
String provider = wsKeyStore.getProperty("com.ibm.ssl.keyStoreProvider");
String password = wsKeyStore.getProperty("com.ibm.ssl.keyStorePassword");
String scope = wsKeyStore.getProperty("com.ibm.ssl.keyStoreScope");
KeyStore keyStore = KeyStoreManager.getInstance().getKeyStore(name,type,provider,location,password,scope,true,null);
Certificate certificate = keyStore.getCertificate(keyAlias);
PublicKey publicKey = certificate.getPublicKey();
return publicKey;
} catch (Exception e) {
e.printstacktrace();
}
}
return null;
上面的代码使用专有的 IBM WAS ND 类:
import com.ibm.ws.crypto.config.KeyReference;
import com.ibm.ws.crypto.config.KeySetManager;
import com.ibm.ws.crypto.config.WSKeySet;
import com.ibm.ws.ssl.config.KeyStoreManager;
import com.ibm.ws.ssl.config.WSKeyStore;
现在我需要将应用程序迁移到 WebSphere Liberty Profile (WLP),而这些类 com.ibm.ws.crypto.config.*
在 WLP 中不存在,而且代码不可移植,很遗憾。
据我所知,我无法以编程方式访问 WLP 上的密钥库,这句话是否准确?
我没有找到任何如何在 WLP 中实现类似方法的示例。
我目前的理解是,我必须简单地使用 KeyStore.load(inputStream,password)
并将密钥存储文件名和密码存储在某处(或硬编码)。这是 WLP 常用的方法吗?
迁移的最终目标是将应用程序Docker化并迁移到云端(OpenShift),所以问题是:keystore存储在哪里?在应用程序内部,还是在 WLP 安装内部?我想区别不大,因为如果证书过期,我需要重建整个 Docker 映像,其中包括 WLP 和应用程序。
或者也许可以存储在云中并以某种方式从 Docker 容器内部访问。这可能是最好的方法,因为证书过期不需要重建镜像,只需更新云环境即可。
非常感谢任何建议、经验或提示。
解决方法
您可能想看看这个:https://www.ibm.com/support/knowledgecenter/en/SSCSJL_4.3.x/sec-tls4apps.html。虽然文档是针对cloud pak的,但是可以在其他容器环境中使用。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。