在哪裏上傳以及如何在Spring Web應用程序中使用PKCS＃12證書

Question

我在編寫Java Web應用程序方面很新穎。用戶需要在我的Web Spring應用程序中重新上傳PKCS #12證書（所有用戶和每個應用程序實例的一個證書）。該證書用於簽署我的應用程序發送給WS的SOAP消息（我需要使用此證書創建keystore）。我創建了應用程序的業務層，現在我需要添加最終用戶的Web功能。

我的問題是：

• 文件存儲 - 在哪裏放置上傳的證書？ （說實話我從來沒有實現在Java Web應用程序中上傳的文件 - 文件放在哪裏共同？在數據庫，磁盤或其他地方？）
• Keystore - 每次用戶創建新keystore是好主意上傳新的證書文件還是應該更新現有的密鑰庫？在哪裏放置密鑰存儲區以便KeyStoreFactoryBean訪問？這種情況下的最佳做法是什麼？

謝謝。

Answer 1

注意一個PKCS#12是一個密鑰存儲太多，但我建議提取密鑰並將其包含在應用密鑰存儲，而不是使用的文件直接

與主密鑰庫，你可以控制的位置，訪問控制和SOAP簽名代碼的配置。

而存儲PKCS12文件有缺點：

• 一個PKCS＃12文件將需要存儲解密的密碼。

• 直接在磁盤上存儲的文件往往是有問題的：權限，名稱，訪問控制等

• SOAP簽名的配置將是複雜的可變文件名。例如在已知的框架WSS4J中，配置是通過配置文件完成的。在運行時無法配置密鑰庫路徑（可能會更改此...）

• 上傳的文件可能不在類路徑中。使用類路徑而不是絕對目錄路徑加載資源的彈簧配置更簡單