本文旨在解决在 Oracle 数据库中执行 Java 存储过程时,遇到的 `java.security.KeyStoreException: PKCS11 not found` 异常。通过分析异常原因,并提供配置 Java 安全属性以及排查 Oracle Job 相关问题的方案,帮助开发者成功在 Oracle 环境中调用涉及 USB Token 证书读取的 Java 代码。
问题分析
当 Java 代码尝试使用 KeyStore.getInstance("PKCS11") 获取 PKCS11 类型的 KeyStore 时,如果 Java 运行时环境 (JRE) 未正确配置 PKCS11 提供程序,就会抛出 java.security.KeyStoreException: PKCS11 not found 异常。这通常发生在以下情况:
- 缺少 PKCS11 提供程序配置: Java 安全属性文件 (java.security) 中未添加或配置 PKCS11 提供程序。
- 配置错误: java.security 文件中的配置不正确,例如配置文件路径错误或语法错误。
- 权限问题: 运行 Java 代码的用户没有访问 PKCS11 库或配置文件的权限。
- Oracle 环境特殊性: 在 Oracle 数据库中执行 Java 代码时,使用的 JRE 可能与开发环境不同,需要针对 Oracle 环境进行特殊配置。
解决方案
解决此问题的关键在于确保 Oracle 数据库使用的 JRE 正确配置了 PKCS11 提供程序。以下是一些可能的解决方案:
1. 配置 Java 安全属性文件
找到 Oracle 数据库使用的 JRE 的 java.security 文件。该文件通常位于 $ORACLE_HOME/javavm/lib/security 目录下。
立即学习“Java免费学习笔记(深入)”;
编辑 java.security 文件,添加或修改以下行:
security.provider.13=SunPKCS11 config_file.cfg
- security.provider.13: 指定提供程序的优先级。确保数字是唯一的,并且没有被其他提供程序占用。
- SunPKCS11: 指定使用 SunPKCS11 提供程序。
- config_file.cfg: 指定 PKCS11 配置文件的路径。
config_file.cfg 文件示例:
name = SmartCard library = /path/to/your/pkcs11/library.so # 替换为你的 PKCS11 库的实际路径 slotListIndex = 0 # 替换为你的 Token 所在的 Slot 索引
注意事项:
- 确保 library 路径指向正确的 PKCS11 库文件 (.so 或 .dll)。该库文件通常由智能卡或 USB Token 供应商提供。
- slotListIndex 指定要使用的 Slot 索引。可以使用工具(例如 pkcs11-tool)来确定正确的 Slot 索引。
- 根据实际情况调整配置文件的其他参数,例如 name、description 等。
修改 java.security 文件后,需要重启 Oracle 数据库才能使更改生效。
2. 动态添加 PKCS11 提供程序
除了修改 java.security 文件外,还可以在 Java 代码中动态添加 PKCS11 提供程序:
import java.security.Provider;
import java.security.Security;
public class GetSignatureNew {
public static void main(String args[]) {
GetSignatureNew sdk = new GetSignatureNew();
}
public static String GetSignatureFun(String serialized) {
String pwd = "*******";
char[] pin = new char[pwd.length()];
try {
for (int i = 0; i < pwd.length(); i++) {
pin[i] = pwd.charAt(i);
}
// 动态添加 PKCS11 提供程序
Provider p = new sun.security.pkcs11.SunPKCS11("config_file.cfg"); // 替换为你的配置文件路径
Security.addProvider(p);
// Get Certificate and private key from token
KeyStore ks = KeyStore.getInstance("PKCS11");
ks.load(null, pin);
Enumeration enu = ks.aliases();
String alias = String.valueOf(enu.nextElement());
X509Certificate cert = (X509Certificate) ks.getCertificate(alias);
PrivateKey pk = (PrivateKey) ks.getKey(alias, pin);
byte[] output = cert.getEncoded();
String b64 = Base64.getEncoder().encodeToString(output);
return b64;
} catch (Exception e) {
e.printStackTrace();
return e.toString();
}
}
}注意事项:
- 确保 config_file.cfg 文件的路径正确。
- 这种方法不需要重启 Oracle 数据库,但需要在每次执行 Java 代码时都添加提供程序。
3. 检查 Oracle Job 相关问题
如果使用 Oracle Job 调度 Java 代码,需要检查以下问题:
- 环境变量: 确保 Oracle Job 运行环境中设置了正确的环境变量,例如 JAVA_HOME 和 PATH。
- 权限: 确保 Oracle Job 运行用户具有访问 PKCS11 库和配置文件的权限。
- 工作目录: 确保 Oracle Job 的工作目录设置为包含 Java 代码和配置文件的目录。
可以使用以下 SQL 查询来查看 Oracle Job 的错误信息:
SELECT log_date, status, error# , output FROM user_scheduler_job_run_details WHERE job_name = 'YOUR_JOB_NAME' -- 替换为你的 Job 名称 ORDER BY log_date DESC;
4. 使用正确的 Java 版本
确保 Oracle 数据库使用的 Java 版本与开发环境一致,并且支持 PKCS11 提供程序。
5. 验证 PKCS11 库
使用供应商提供的工具或示例代码验证 PKCS11 库是否正常工作。这可以帮助确定问题是否出在 PKCS11 库本身。
总结
解决 java.security.KeyStoreException: PKCS11 not found 异常需要仔细检查 Java 安全属性配置、PKCS11 库路径、权限设置以及 Oracle Job 相关配置。通过逐步排查这些问题,最终可以成功在 Oracle 数据库中执行涉及 USB Token 证书读取的 Java 代码。建议在修改任何配置之前备份相关文件,以便在出现问题时可以恢复。
