带有 SSL 的 Java/Spring UnrecoverableKeyException

Question

请注意:虽然这个具体问题涉及Ldaptive库，我坚信它本质上纯粹是一个 Java keytool/SSL/Spring 问题。

我在我的 Java (Spring) 应用程序服务器上使用 Ldaptive 针对 LDAP/AD 服务器对用户进行身份验证。当我将 WAR 部署到 Tomcat 并启动它时，出现以下异常:

    (Large stack trace above this, below is the root exception)
    ... 70 more
Caused by: java.security.UnrecoverableKeyException: requested entry requires a password
    at java.security.KeyStoreSpi.engineGetEntry(KeyStoreSpi.java:459)
    at java.security.KeyStore.getEntry(KeyStore.java:1290)
    at org.ldaptive.ssl.KeyStoreUtils.getEntry(KeyStoreUtils.java:129)
    at org.ldaptive.ssl.KeyStoreSSLContextInitializer.createTrustManagers(KeyStoreSSLContextInitializer.java:116)
    at org.ldaptive.ssl.AbstractSSLContextInitializer.getTrustManagers(AbstractSSLContextInitializer.java:41)
    at org.ldaptive.ssl.AbstractSSLContextInitializer.initSSLContext(AbstractSSLContextInitializer.java:84)
    at org.ldaptive.ssl.TLSSocketFactory.initialize(TLSSocketFactory.java:68)
    at org.ldaptive.provider.jndi.JndiProvider.getJndiStartTLSConnectionFactory(JndiProvider.java:162)
    ... 83 more

错误来自这个 Spring bean:

<bean id="sslConfig" class="org.ldaptive.ssl.SslConfig">
    <property name="credentialConfig">
        <bean class="org.ldaptive.ssl.KeyStoreCredentialConfig"
            p:keyStore="file:/etc/myapp/keys.jks"
            p:keyStorePassword="password"
            p:keyStoreType="JKS"
            p:keyStoreAliases="kw-dj93d3j9-29kd-dj9k-dkow-dk3jd93jsjs8" />
    </property>
</bean>

如您所见，我告诉 Ldaptive 查看我的本地文件系统，在 /etc/myapp 下，找到一个名为 keys.jks 的 Java KeyStore .在此 keystore 中有一个名为“kw-dj93d3j9-29kd-dj9k-dkow-dk3jd93jsjs8”的 key 。

当我使用 keytool 检查这个 key 时:

cd /etc/myapp
keytool -list -keystore keys.jks
Enter keystore password:  password

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

kw-dj93d3j9-29kd-dj9k-dkow-dk3jd93jsjs8, May 1, 2014, PrivateKeyEntry,
Certificate fingerprint (SHA1): <Long hexidecimal strings here...>

值得一提的是，这不是自签名证书。这是来自信誉良好的 CA 的证书。

所以我知道 key 位于 keystore 中。然而，我似乎记得当我将这个 key 添加到 JKS 时(几个月前)， key 本身有一个密码(我也设置为“密码”)。但是，我已经尝试使用 keytool 来查看是否可以让它向我询问 key /别名的个人密码(而不是商店范围的密码)，但我无法重现这一点，但只是值得深思。如果我不得不猜测，Spring bean 中的 keyStorePassword 字段是正确的，但 key 本身需要密码，而 Ldaptive 没有考虑到这一点......

无论如何，关于为什么我会看到这个异常有什么想法吗？如果我是正确的，并且我不能更改 Ldaptive 的源代码，那么我有什么选择？是否有任何 keytool 命令可以用来删除单个 key 的密码，并只接受商店范围内的密码？

Answer 1

堆栈跟踪似乎与您发布的配置不匹配。具体来说:

at org.ldaptive.ssl.KeyStoreSSLContextInitializer.createTrustManagers(KeyStoreSSLContextInitializer.java:116)
at org.ldaptive.ssl.AbstractSSLContextInitializer.getTrustManagers(AbstractSSLContextInitializer.java:41)

正在配置信任管理器，而不是 key 管理器。我希望该异常来自此配置:

    <bean class="org.ldaptive.ssl.KeyStoreCredentialConfig"
        p:trustStore="file:/etc/myapp/keys.jks"
        p:trustStorePassword="password"
        p:trustStoreType="JKS"
        p:trustStoreAliases="kw-dj93d3j9-29kd-dj9k-dkow-dk3jd93jsjs8" />

不过，如果您发现了错误，请提出问题 here .