将一个提供商的 JCEKS 密钥转换为另一个提供商的另一个存储

Question

我有一个使用 SUN PROVIDER 创建的密钥库 JCEKS。

我必须在没有 SUN PROVIDER 的 IBM JDK 上使用相同的存储。如何使用 keytool 转换密钥库或导出密钥，以便让 IBM JDK 访问密钥库中的密钥？

Answer 1

IBM的JDK无法加载使用SUN的JDK创建的密钥库。因此，在 IBM 机器上，如果您想使用密钥库，则应该仅使用 IBM 的 JDK 创建它。

要使用 IBM 的 JDK 创建新密钥库，请参阅 这个。

Answer 2

您可以将 IBMJCE 与使用 SunJCE 创建的 JCEKS 密钥库结合使用。使用 keytool 可能会为密钥库提供密码，并为 securekey 本身提供单独的密码。当使用 keyman IBM Key Manager 或您自己的类与 IBMJCE 来从 JCEKS 获取安全密钥时，您可能会收到 com.sun.crypto.provider.SealedObjectForKeyProtector 错误。解决方案是将密钥库和 securekey 的密码设置为相同的值。

Answer 3

JCEKS 是随JCE 引入的SUN 格式类型。

这并不意味着它仅受 SUN/Oracles 的 JDK 支持。

您也应该能够在 IBM JDK 中使用它（当然使用 IBM 提供程序）。查看 IBM 安全