3.4. keystores

在 FIPS 模式中，红帽构建的 OpenJDK 21 允许使用 PKCS12 和 PKCS11 密钥存储类型。默认使用 PKCS12。您可以使用 fips.keystore.type 安全属性更改默认密钥存储类型。应用程序也可以选择在调用 KeyStore.getInstance (<type>)时要使用的 密钥存储类型。

打开 PKCS11 密钥存储时，红帽构建的 OpenJDK 21 使用位于 /etc/pki/nssdb 的 SQLite NSS DB。这个 NSS 数据库可能不适合存储密钥。您可以通过为 fips.nssdb.path 属性设置值来指定不同的数据库。如需更多信息和安全注意事项，请参阅 红帽构建的 OpenJDK 21 中的 FIPS 设置。

当您将 fips.keystore.type 安全属性设置为 PKCS11 和 FIPS 模式时，红帽构建的 OpenJDK 21 会自动将 javax.net.ssl.keyStore 系统属性分配给 NONE 的值。此行为可通过保存手动配置步骤 来促进 PKCS BLS 密钥存储的使用。如需更多信息，请参阅 JDK-8238264。

更新于 2025-02-01