3.4. keystores
在 FIPS 模式中,红帽构建的 OpenJDK 21 允许使用 PKCS12
和 PKCS11
密钥存储类型。默认使用 PKCS12
。您可以使用 fips.keystore.type
安全属性更改默认密钥存储类型。应用程序也可以选择在调用 KeyStore.getInstance (<type>)时要使用的
密钥存储类型。
打开 PKCS11
密钥存储时,红帽构建的 OpenJDK 21 使用位于 /etc/pki/nssdb
的 SQLite NSS DB。这个 NSS 数据库可能不适合存储密钥。您可以通过为 fips.nssdb.path
属性设置值来指定不同的数据库。如需更多信息和安全注意事项,请参阅 红帽构建的 OpenJDK 21 中的 FIPS 设置。
当您将 fips.keystore.type
安全属性设置为 PKCS11
和 FIPS 模式时,红帽构建的 OpenJDK 21 会自动将 javax.net.ssl.keyStore
系统属性分配给 NONE
的值。此行为可通过保存手动配置步骤 来促进 PKCS
BLS 密钥存储的使用。如需更多信息,请参阅 JDK-8238264。
更新于 2025-02-01