私たちの内部セキュリティ要件を満たすために、証明書を使用してサーバーと相互認証するJavaクライアントを作成しました。しかし、証明書をSSLContextに入れるには、キーストアとtrustoreにパスワードを提供する必要があります。パスワードはコード内にプレーンテキストで表示されています。コードベースでkeystore/trustoreプレーンテキストパスワードを使用しないようにするにはどうすればよいですか?
キーストア/トラストストアのパスワードをコード内のプレーンテキストで使用しないようにする方法はありますか?私はスタックオーバーフローに関する答えを試しました。これは、パスワードなしでストアを作成したり、SSLContextに直接証明書をロードすることを提案していますが、これらのメソッドを試しても認証が失敗します。
トラストストアにパスワードを入力する必要はありません。ある時点でオペレータを信頼する必要があります。これに対する通常の解決策は、アクセスカードを介した物理的なセキュリティです。 – EJP