我可以避免在JSSE的命令行上放置密钥库密码吗?

我们正在使用Maven 2并拥有一个使用SSL客户端身份验证保护的maven存储库管理器。为了让Maven访问存储库,必须将以下系统属性传递给Java: javax.net.ssl.trustStore中= trust.jks javax.net.ssl.trustStorePassword中=
<trustPass>
 javax.net.ssl.keyStore = keystore.p12 javax.net.ssl.keyStoreType = PKCS12 javax.net.ssl.keyStorePassword =
<keyStorePass>
 有关详细信息,请参阅此迷你指南。 为了在Maven中设置这些系统属性,我必须使用MAVEN_OPTS环境变量(或直接在命令行上传递它们)。无论哪种方式,当Maven实际执行时,所有这些属性都可以被系统上的其他用户看到(通过ps),包括我的密钥库密码。 有没有办法设置这些属性,以便密码不会在命令行上公开?     
2019-10-19 5 条评论
分享

没有找到相关结果

    已邀请:

    联课

    OSX 我在OSX上提出的解决方案如下
    .mavenrc
    。它使用python脚本访问密钥链中的密码,以便打开客户端证书,然后使用该随机密码生成随机密码和临时证书。 将其放入
    ~/.mavenrc
    并将您的客户端证书添加到OSX钥匙串。确保将
    MAVEN_CLIENT_CERT
    设置为客户端证书的位置。 〜/ .mavenrc 
    export MAVEN_CLIENT_CERT=<PATH.TO.CLIENT.CERTIFICATE>

# Retrieve secret from keychain
export SECRET=$(python <<END
from subprocess import Popen, PIPE
import re, sys, os

passlabel = os.environ.get("MAVEN_CLIENT_CERT", None)

p = Popen(['security', 'find-generic-password', '-l',passlabel,'-g'], stdout=PIPE, stderr=PIPE, stdin=PIPE)

sys.stdout.write(re.compile('password:\s"(.*)"').match(p.stderr.read()).group(1))
sys.exit(0)
END)

TMPDIR=/tmp
TMPTMPL=mvn-$(id -u)-XXXXXXXXXX
PASSPHRASE=$(openssl rand -base64 32)
export PASSPHRASE TMPDIR

pemfile=$(mktemp $TMPDIR/$TMPTMPL)
openssl pkcs12 -in $MAVEN_CLIENT_CERT -passin env:SECRET -out $pemfile -passout env:PASSPHRASE
p12file=$(mktemp $TMPDIR/$TMPTMPL)
openssl pkcs12 -export -in $pemfile -out $p12file -passin env:PASSPHRASE -passout env:PASSPHRASE

sh -c "while kill -0 $$ 2>/dev/null; do sleep 1; done; rm -f $pemfile; rm -f $p12file;" &

MAVEN_OPTS="$MAVEN_OPTS -Djavax.net.ssl.keyStore=$p12file -Djavax.net.ssl.keyStoreType=pkcs12 -Djavax.net.ssl.keyStorePassword=$PASSPHRASE"
    Linux的 在Linux上,以下.mavenrc将与gnome密钥环一起使用(确保将证书密码添加到您的登录密钥环并设置id变量
    KEYRING_ID
    ): 〜/ .mavenrc 
    MAVEN_CLIENT_CERT=<PATH.TO.CLIENT.CERTIFICATE>

export KEYRING_NAME="login"
export KEYRING_ID=<KEYRING.ID>

# Try to get secret from the gnome keyring 
export SECRET=$(python <<END
import sys, os
# Test for gtk
try:
  import gtk #ensure that the application name is correctly set
  import gnomekeyring as gk
except ImportError:
  gtk = None
if gtk:
  id = os.environ.get("KEYRING_ID", None)
  name = os.environ.get("KEYRING_NAME", None)
  try:
    if id:
      info = gk.item_get_info_sync(name, int(id))
      attr = gk.item_get_attributes_sync(name, int(id))
      sys.stdout.write(str(info.get_secret()))
    else:
      params = {}
      types = {'secret': gk.ITEM_GENERIC_SECRET, 'network': gk.ITEM_NETWORK_PASSWORD, 'note': gk.ITEM_NOTE}
      eparams = os.environ.get("KEYRING_PARAMS", None)
      etype = os.environ.get("KEYRING_ITEMTYPE", None)
      if eparams and etype:
        list = eparams.split(',')
        for i in list:
          if i:
            k, v = i.split('=', 1)
            if v.isdigit():
              params[k] = int(v)
            else:
              params[k] = v
        matches = gk.find_items_sync(types[etype], params)
        # Write 1st out and break out of loop. 
        # TODO: Handle more then one secret.
        for match in matches:
          sys.stdout.write(str(match.secret))
          break
    sys.exit(0)
  except gk.Error:
    pass
sys.exit(1)
END
)

TMPDIR=/dev/shm
TMPTMPL=mvn-$(id -u)-XXXXXXXXXX
PASSPHRASE=$(openssl rand -base64 32)
export PASSPHRASE TMPDIR

pemfile=$(mktemp $TMPDIR/$TMPTMPL)
openssl pkcs12 -in $MAVEN_CLIENT_CERT -passin env:SECRET -out $pemfile -passout env:PASSPHRASE
p12file=$(mktemp $TMPDIR/$TMPTMPL)
openssl pkcs12 -export -in $pemfile -out $p12file -passin env:PASSPHRASE -passout env:PASSPHRASE

sh -c "while kill -0 $$ 2>/dev/null; do sleep 1; done; rm -f $pemfile; rm -f $p12file;" &

MAVEN_OPTS="$MAVEN_OPTS -Djavax.net.ssl.keyStore=$p12file -Djavax.net.ssl.keyStoreType=pkcs12 -Djavax.net.ssl.keyStorePassword=$PASSPHRASE"
        
    2019-10-19 0 0
    分享

    炉挤仙挟

    在OSX上,你可以使用你的钥匙串作为密钥库(据我所知,仍然存在一个错误,所以它只有在只有一个“身份”时才有效,这是一个cert +私钥的组合)。 使用它,使用
    -Djavax.net.ssl.keyStore=NONE
    -Djavax.net.ssl.keyStoreType=KeychainStore
    -Djavax.net.ssl.keyStorePassword=-
    。 然后,钥匙串将提示您在需要时批准使用私钥。     
    2019-10-19 0 0
    分享

    田损比报

    您可以在Maven设置文件中定义这些属性。它们的访问方式与在命令行中提供它们时的方式相同。以下是Maven设置文件的示例: 
    <profiles>
    <profile>
        <id>repo-ssl</id>
        <properties>
            <javax.net.ssl.trustStore>trust.jks</javax.net.ssl.trustStore>
            <javax.net.ssl.trustStorePassword>SET_TRUSTSTORE_PASSWORD</javax.net.ssl.trustStorePassword>
            <javax.net.ssl.keyStore>keystore.p12</javax.net.ssl.keyStore>
            <javax.net.ssl.keyStoreType>pkcs12</javax.net.ssl.keyStoreType>
            <javax.net.ssl.keyStorePassword>SET_KEYSTORE_PASSWORD</javax.net.ssl.keyStorePassword>
        </properties>
    </profile>
</profiles>

<activeProfiles>
    <activeProfile>repo-ssl</activeProfile>
</activeProfiles>
    虽然我没有做同样的事情,但你在处理秘密时我已经使用了同样的技术。     
    2019-10-19 0 0
    分享

    填盖

    是的,您可以在获取初始SSLContext之前在代码中使用
    System.setProperty()
    ,或者您可以解决创建自己的KeyManager等等的痛苦和痛苦,如JSEE参考指南中的示例所述。     
    2019-10-19 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.042876958847046