Недавно мне пришлось добавить свой корпоративный корневой ЦС (на основе AD CS) в хранилище доверенных сертификатов JRE по умолчанию (файл $JAVA_HOME/lib/security/cacerts
). Затем я обнаружил (поскольку я новичок в этом), что пароль по умолчанию — changeit
.
Я нашел различные сообщения, объясняющие, как его изменить, но есть два вопроса, на которые я не могу найти ответы:
- Является ли сохранение пароля по умолчанию угрозой безопасности? Я предполагаю, что злоумышленник может затем импортировать скомпрометированные сертификаты, чтобы клиенты им доверяли.
- Каковы последствия изменения этого пароля хранилища доверенных сертификатов? Я также предполагаю, что JRE может искать корневой ЦС внутри, потому что он знает пароль по умолчанию. Нужно ли будет его где-то предоставлять после изменения (файл конфигурации, ...)?
В основном мы используем Java в Windows для веб-сайтов, на которых есть апплеты, поэтому мы ничего не запускаем из командной строки (в которой, как я знаю, может быть указан пароль).
keytool -list -alias mycorpCA -keystore $JAVA_HOME/lib/security/cacerts
, меня просят ввести пароль. - person LoTus   schedule 29.11.2016