<div dir="ltr"><div dir="ltr"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 10, 2018 at 3:10 AM, Weijun Wang <span dir="ltr"><<a href="mailto:weijun.wang@oracle.com" target="_blank">weijun.wang@oracle.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-"><br>
<br>
> On Oct 10, 2018, at 1:07 AM, Martin Buchholz <<a href="mailto:martinrb@google.com">martinrb@google.com</a>> wrote:<br>
> <br>
> Seems alright to this non-crypto expert.<br>
> <br>
> The key thing I would like to see working is:<br>
> <br>
> If I create a keystore for cacerts and then use it via -with-cacerts-file taking the defaults, this results in goodness (which presumably means not getting JKS keystore)<br>
<br>
</span>I haven't tried this configure option before, but does it mean just copy your own file to lib/security/cacerts?<br></blockquote><div><br></div><div>My own mental model of   -with-cacerts-file is that it effectively copies the file to replace java.base/share/lib/security/cacerts.</div><div><br></div><div>Currently, to explore this file you need to know to use JKS and learn about the "well-known" password (where is this documented??)</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Then you need to make it correct, i.e. a JKS file, or a password-less pkcs12 file, or with-password pkcs12 but you set the correct storepass (TLS system property?).<br>
<span class="gmail-"><br>
> <br>
> Make sure keystore creators don't have to specify a storepass.<br>
<br>
</span>If you want to create a password-less pkcs12 file, you will need to specify those system properties (certProtectionAlgorithm and macAlgorithm to NONE). Then I'll make sure there is no need to specify a storepass.<br></blockquote><div><br></div><div>Because we're trying to replace a data file that already comes with the JDK, we'll always prefer to use exactly the same format and password (or lack thereof).</div><div>If and when openjdk comes with a password-less pkcs12 file, we will switch as well.</div><div> </div></div></div></div></div></div>