解决 Oracle 数据库执行 Java 存储过程时 PKCS11 异常

本文旨在解决在 Oracle 数据库中执行 Java 存储过程时，遇到的 `java.security.KeyStoreException: PKCS11 not found` 异常。通过分析异常原因，并提供配置 Java 安全属性以及排查 Oracle Job 相关问题的方案，帮助开发者成功在 Oracle 环境中调用涉及 USB Token 证书读取的 Java 代码。

问题分析

当 Java 代码尝试使用 KeyStore.getInstance("PKCS11") 获取 PKCS11 类型的 KeyStore 时，如果 Java 运行时环境 (JRE) 未正确配置 PKCS11 提供程序，就会抛出 java.security.KeyStoreException: PKCS11 not found 异常。这通常发生在以下情况：

1. 缺少 PKCS11 提供程序配置： Java 安全属性文件 (java.security) 中未添加或配置 PKCS11 提供程序。
2. 配置错误： java.security 文件中的配置不正确，例如配置文件路径错误或语法错误。
3. 权限问题： 运行 Java 代码的用户没有访问 PKCS11 库或配置文件的权限。
4. Oracle 环境特殊性： 在 Oracle 数据库中执行 Java 代码时，使用的 JRE 可能与开发环境不同，需要针对 Oracle 环境进行特殊配置。

解决方案

解决此问题的关键在于确保 Oracle 数据库使用的 JRE 正确配置了 PKCS11 提供程序。以下是一些可能的解决方案：

1. 配置 Java 安全属性文件

找到 Oracle 数据库使用的 JRE 的 java.security 文件。该文件通常位于 $ORACLE_HOME/javavm/lib/security 目录下。

立即学习“Java免费学习笔记（深入）”；

编辑 java.security 文件，添加或修改以下行：

security.provider.13=SunPKCS11 config_file.cfg

• security.provider.13: 指定提供程序的优先级。确保数字是唯一的，并且没有被其他提供程序占用。
• SunPKCS11: 指定使用 SunPKCS11 提供程序。
• config_file.cfg: 指定 PKCS11 配置文件的路径。

config_file.cfg 文件示例：

name = SmartCard
library = /path/to/your/pkcs11/library.so  # 替换为你的 PKCS11 库的实际路径
slotListIndex = 0  # 替换为你的 Token 所在的 Slot 索引

注意事项：

• 确保 library 路径指向正确的 PKCS11 库文件 (.so 或 .dll)。该库文件通常由智能卡或 USB Token 供应商提供。
• slotListIndex 指定要使用的 Slot 索引。可以使用工具（例如 pkcs11-tool）来确定正确的 Slot 索引。
• 根据实际情况调整配置文件的其他参数，例如 name、description 等。

修改 java.security 文件后，需要重启 Oracle 数据库才能使更改生效。

存了个图

视频图片解析/字幕/剪辑，视频高清保存/图片源图提取

17

查看详情

2. 动态添加 PKCS11 提供程序

除了修改 java.security 文件外，还可以在 Java 代码中动态添加 PKCS11 提供程序：

import java.security.Provider;
import java.security.Security;

public class GetSignatureNew {

    public static void main(String args[]) {
        GetSignatureNew sdk = new GetSignatureNew();
    }

    public static String GetSignatureFun(String serialized) {
        String pwd = "*******";
        char[] pin = new char[pwd.length()];
        try {
            for (int i = 0; i < pwd.length(); i++) {
                pin[i] = pwd.charAt(i);
            }

            // 动态添加 PKCS11 提供程序
            Provider p = new sun.security.pkcs11.SunPKCS11("config_file.cfg"); // 替换为你的配置文件路径
            Security.addProvider(p);

            // Get Certificate and private key from token
            KeyStore ks = KeyStore.getInstance("PKCS11");
            ks.load(null, pin);
            Enumeration enu = ks.aliases();
            String alias = String.valueOf(enu.nextElement());
            X509Certificate cert = (X509Certificate) ks.getCertificate(alias);
            PrivateKey pk = (PrivateKey) ks.getKey(alias, pin);
            byte[] output = cert.getEncoded();
            String b64 = Base64.getEncoder().encodeToString(output);
            return b64;
        } catch (Exception e) {
            e.printStackTrace();
            return e.toString();
        }
    }
}

注意事项：

• 确保 config_file.cfg 文件的路径正确。
• 这种方法不需要重启 Oracle 数据库，但需要在每次执行 Java 代码时都添加提供程序。

3. 检查 Oracle Job 相关问题

如果使用 Oracle Job 调度 Java 代码，需要检查以下问题：

• 环境变量： 确保 Oracle Job 运行环境中设置了正确的环境变量，例如 JAVA_HOME 和 PATH。
• 权限： 确保 Oracle Job 运行用户具有访问 PKCS11 库和配置文件的权限。
• 工作目录： 确保 Oracle Job 的工作目录设置为包含 Java 代码和配置文件的目录。

可以使用以下 SQL 查询来查看 Oracle Job 的错误信息：

SELECT log_date, status, error# , output
FROM   user_scheduler_job_run_details
WHERE  job_name = 'YOUR_JOB_NAME'  -- 替换为你的 Job 名称
ORDER BY log_date DESC;

4. 使用正确的 Java 版本

确保 Oracle 数据库使用的 Java 版本与开发环境一致，并且支持 PKCS11 提供程序。

5. 验证 PKCS11 库

使用供应商提供的工具或示例代码验证 PKCS11 库是否正常工作。这可以帮助确定问题是否出在 PKCS11 库本身。

总结

解决 java.security.KeyStoreException: PKCS11 not found 异常需要仔细检查 Java 安全属性配置、PKCS11 库路径、权限设置以及 Oracle Job 相关配置。通过逐步排查这些问题，最终可以成功在 Oracle 数据库中执行涉及 USB Token 证书读取的 Java 代码。建议在修改任何配置之前备份相关文件，以便在出现问题时可以恢复。

以上就是解决 Oracle 数据库执行 Java 存储过程时 PKCS11 异常的详细内容，更多请关注php中文网其它相关文章！