解决 Oracle 数据库中 Java 存储过程 PKCS11 错误

本文旨在解决在 Oracle 数据库中执行 Java 存储过程时遇到的 "java.security.KeyStoreException: PKCS11 not found" 错误。该错误通常发生在 Java 代码尝试访问 USB Token 中的证书时，表明 Java 虚拟机 (JVM) 无法找到或加载 PKCS11 安全提供程序。本文将提供详细的排查步骤和解决方案，包括配置 `java.security` 文件、检查 JVM 环境以及使用 Oracle Wallet Manager 等方法，以确保 Java 代码能够正确访问 PKCS11 设备。

问题分析

当 Java 代码在 Oracle 数据库内部执行时，它运行在数据库服务器的 JVM 环境中。这个 JVM 环境可能与开发环境的 JVM 环境不同，导致在独立 Java 程序中正常工作的代码在 Oracle 数据库中运行时出现 java.security.KeyStoreException: PKCS11 not found 错误。 该错误表明 JVM 无法找到 PKCS11 提供程序，这通常是因为 java.security 配置文件未正确配置，或者 JVM 没有加载必要的 PKCS11 库。

解决方案

以下是解决此问题的步骤：

1. 配置 java.security 文件

java.security 文件用于配置 Java 安全属性，包括可用的安全提供程序。你需要确保 Oracle 数据库服务器的 JVM 使用的 java.security 文件包含了 PKCS11 提供程序的配置。

立即学习“Java免费学习笔记（深入）”；

1. 找到 java.security 文件:

   • 首先需要确定 Oracle 数据库 JVM 使用的 java.security 文件位置。 通常位于 $ORACLE_HOME/javavm/lib/security 目录下，也可能位于 JDK 安装目录下的 jre/lib/security 目录中。 具体的路径取决于 Oracle 数据库的版本和 JDK 的安装方式。

2. 编辑 java.security 文件:

   • 使用文本编辑器打开 java.security 文件，并添加以下行：

   security.provider.13=sun.security.pkcs11.SunPKCS11 config_file.cfg

   • security.provider.13： 指定提供程序的优先级。 确保此数字未被其他提供程序使用。
   • sun.security.pkcs11.SunPKCS11： 指定 PKCS11 提供程序的类名。
   • config_file.cfg： 指定 PKCS11 配置文件的路径。 这个文件包含了 PKCS11 库的路径和其他配置信息。

2. 创建 PKCS11 配置文件 (config_file.cfg)

config_file.cfg 文件包含了 PKCS11 库的路径和其他配置信息。你需要根据你的 PKCS11 设备的具体情况创建此文件。

1. 创建配置文件:

   • 创建一个名为 config_file.cfg 的文本文件，并添加以下内容：

   name = MyPKCS11
   library = /path/to/pkcs11.dll  # 替换为你的 PKCS11 库的实际路径
   slotListIndex = 0  # 替换为你的 token 所在的 slot 索引

   • name： 指定提供程序的名称。 可以自定义。
   • library： 指定 PKCS11 库的路径。 这是最重要的配置项，需要指向你的 USB Token 驱动程序提供的 PKCS11 库文件（例如，.dll、.so 或 .dylib 文件）。 你需要从你的 USB Token 厂商获取此文件。
   • slotListIndex： 指定 token 所在的 slot 索引。 如果只有一个 token，通常设置为 0。 如果有多个 token，你需要确定你的 token 所在的 slot 索引。 可以使用工具（例如 pkcs11-tool）来查看 slot 列表。

2. 放置配置文件:

   • 将 config_file.cfg 文件放置在 Oracle 数据库服务器可以访问的位置。 建议将其放置在 $ORACLE_HOME/javavm/lib/security 目录下，或者在 java.security 文件中指定的其他位置。

3. 检查 JVM 环境

确保 Oracle 数据库服务器的 JVM 已经正确加载了 PKCS11 提供程序。

Sora

Sora是OpenAI发布的一种文生视频AI大模型，可以根据文本指令创建现实和富有想象力的场景。

下载

1. 重启数据库实例:

   • 在修改 java.security 文件和创建 config_file.cfg 文件后，需要重启 Oracle 数据库实例，以使更改生效。

2. 验证提供程序是否加载:

   • 可以通过编写一个简单的 Java 存储过程来验证 PKCS11 提供程序是否已经正确加载。 例如：

   import java.security.Provider;
   import java.security.Security;
   import java.sql.*;
   
   public class ListProviders {
       public static void listProviders() throws SQLException {
           Provider[] providers = Security.getProviders();
           for (Provider provider : providers) {
               System.out.println("Provider: " + provider.getName() + ", Version: " + provider.getVersion());
           }
       }
   }

   • 将此 Java 代码编译成 class 文件，并使用 loadjava 命令将其加载到 Oracle 数据库中。
   • 创建一个 PL/SQL 存储过程来调用此 Java 方法。
   • 执行 PL/SQL 存储过程，并查看输出。 你应该能够看到 SunPKCS11 提供程序在列表中。

4. 权限问题

确保运行 Oracle 数据库的用户具有访问 PKCS11 库和 USB Token 的权限。

1. 文件系统权限:

   • 确保运行 Oracle 数据库的用户（通常是 oracle 用户）具有读取 PKCS11 库文件和 config_file.cfg 文件的权限。

2. USB Token 权限:

   • 某些 USB Token 需要特定的权限才能访问。 你需要查阅你的 USB Token 厂商的文档，以了解如何配置正确的权限。

5. 使用 Oracle Wallet Manager (可选)

Oracle Wallet Manager 可以用于管理安全证书和密钥。 你可以使用 Oracle Wallet Manager 将 USB Token 中的证书导入到 Oracle Wallet 中，然后使用 Oracle Wallet 中的证书进行签名。

1. 创建 Oracle Wallet:

   • 使用 Oracle Wallet Manager 创建一个新的 Oracle Wallet。

2. 导入证书:

   • 将 USB Token 中的证书导入到 Oracle Wallet 中。

3. 配置 Java 代码:

   • 修改 Java 代码，使其使用 Oracle Wallet 中的证书进行签名。

6. 注意事项

• PKCS11 库版本: 确保使用的 PKCS11 库版本与你的 USB Token 兼容。
• 多个 JVM: 如果你的 Oracle 数据库服务器上安装了多个 JVM，请确保你配置的是 Oracle 数据库 JVM 使用的 java.security 文件。
• 环境变量: 某些 PKCS11 库可能需要设置特定的环境变量。 你需要查阅你的 USB Token 厂商的文档，以了解需要设置哪些环境变量。
• 调试: 可以使用 Java 调试器来调试 Java 存储过程，以了解错误的详细信息。

7. 总结

解决 Oracle 数据库中 Java 存储过程的 "java.security.KeyStoreException: PKCS11 not found" 错误需要仔细的配置和排查。 通过配置 java.security 文件，创建 PKCS11 配置文件，检查 JVM 环境，并确保正确的权限，你可以成功地解决此问题，并使你的 Java 代码能够正确访问 USB Token 中的证书。 如果问题仍然存在，请查阅 Oracle 数据库和 USB Token 厂商的文档，或寻求专业的技术支持。