コマンドラインからシステム・プロパティjava.security.properties=<URL>を使用して、代替のjava.securityプロパティ・ファイルを指定できます。このプロパティ・ファイルは、マスター・セキュリティ・プロパティ・ファイルに追加されます。java.security.properties==<URL>(等号を2つ使用)でプロパティ・ファイルを指定すると、そのプロパティ・ファイルはマスター・セキュリティ・プロパティ・ファイルを完全にオーバーライドします。

セキュリティ・プロパティ・ファイルでセキュリティ・プロパティ値を静的に設定するには、次の形式で既存の行を追加または変更します:

propertyName=propertyValue

たとえば、デフォルトのSunX509以外のキー・マネージャ・ファクトリのアルゴリズム名を指定するとします。これを実行するには、ssl.KeyManagerFactory.algorithmというセキュリティ・プロパティの値として、アルゴリズム名を指定します。たとえば、値をMyX509に設定するには、次の行を追加します:

ssl.KeyManagerFactory.algorithm=MyX509

セキュリティ・プロパティ・ファイルの行をコメント・アウトする(つまり、セキュリティ・プロパティ・ファイルからセキュリティ・プロパティを設定するときにJVMがその行を無視するようにする)には、行の先頭に番号記号(#)を挿入します。

デフォルトでは、マスター・セキュリティ・プロパティ・ファイルには、指定されたセキュリティ・プロパティを詳細に説明する多くのコメントが含まれています。これらのセキュリティ・プロパティ自体がコメント・アウトされる場合があります。コメント・アウトされたこれらのセキュリティ・プロパティには、値が指定されている場合も、値がまったく指定されていない場合もあります。

アプリケーション・コードでセキュリティ・プロパティを動的に設定するには、java.security.Security.setPropertyメソッドをコールします:

Security.setProperty("propertyName," "propertyValue");

たとえば、キー・マネージャ・ファクトリのアルゴリズム名を指定する、前の例に対応したsetProperty()メソッドの呼出しでは:

Security.setProperty("ssl.KeyManagerFactory.algorithm", "MyX509");

コマンドライン・オプション-Djava.security.debug=propertiesを指定して、セキュリティ・プロパティのロギングを有効にします。propertiesという接頭辞が付いたメッセージには、すべてのセキュリティ・プロパティの最終値と、includeディレクティブの処理方法に関する情報が含まれます。「java.security.debugシステム・プロパティ」を参照してください。

コマンドライン・オプション-XshowSettings:securityは、JDKで有効なセキュリティ設定の概要を出力します。「java -XshowSettings:securityオプション」を参照してください。

Java Flight Recorder (JFR)イベントjdk.InitialSecurityPropertyを使用して、実行中のJDKのセキュリティ・プロパティの初期値を取得できます。

セキュリティ・プロパティ・ファイルを別のセキュリティ・プロパティ・ファイルに含めるには、includeディレクティブを使用します。この機能により、セキュリティ・プロパティを複数のファイルに定義でき、複数のJDKにまたがるセキュリティ・プロファイルの集中管理が容易になります。

たとえば、LinuxおよびmacOSで、別のセキュリティ・プロパティ・ファイルにセキュリティ・プロパティ・ファイル/usr/lib/jvm/jdk-24/conf/security/extra.securityを含めるには、次のincludeディレクティブを追加します:

include /usr/lib/jvm/jdk-24/conf/security/extra.security

Windowsで、セキュリティ・プロパティ・ファイルC:\Java\jdk-24\conf\security\extra.securityを別のセキュリティ・プロパティ・ファイルに含めるには、次のincludeディレクティブを追加します:

include C:\\Java\\jdk-24\\conf\\security\\extra.security

includeディレクティブ内のファイル・システム・パスは、前述の例のように絶対パスでも相対パスでもかまいません。相対パスである場合は、includeディレクティブを含むファイルの場所がベースとして使用されます。includeディレクティブがURLストリーム内にある場合、相対パスは使用できません。たとえば、Javaアプリケーションの起動時にコマンドラインで次のオプションを指定すると、セキュリティ・プロパティ・ファイルextra.java.securityに相対パスを指定するincludeディレクティブを含めることはできません:

-Djava.security.properties=https://example.com/extra.java.security

LinuxおよびmacOSでは、スラッシュ(/)がサポートされています。

Windowsでは、ダブル・バックスラッシュ(\\)、シングル・フォワード・スラッシュ(/)およびUNCパスがサポートされています。たとえば:

include C:\\Program Files\\Java\\jdk-24\\java.config
include C:/Program Files/Java/jdk-24/additional.java.config
include \\\\WindowsHost\\Share\\unc.path.java.config

URLファイル・パス(たとえば、file://で始まるパス)はサポートされていません。

includeディレクティブは、プロパティの展開をサポートします。これは、シェルでの変数の展開に似ています。${some.property}のような文字列がincludeディレクティブにある場合、システム・プロパティの値に展開されます。たとえば:

include ${java.home}/extra.security

これにより、${java.home}が展開され、java.homeシステム・プロパティの値が使用されます。このプロパティの値が/usr/lib/jvm/jdk-24の場合、前述の例は次のようになります:

include /usr/lib/jvm/jdk-24/conf/security/extra.security

プラットフォームに依存しないポリシー・ファイルの作成を簡単にするために、${/}という特殊な表記(${file.separator}のショートカット)も使用できます。これにより、次のようなディレクティブが可能になります:

include ${java.home}${/}extra.security

JVMは、includeディレクティブを検出すると、先行または後続の出現に関係なくただちにそれを処理します。ファイル内の位置は、「セキュリティ・プロパティ・ファイルでのincludeディレクティブの順序」で説明されているように、セキュリティ・プロパティの値に影響することがあります。ただし、includeディレクティブは相互に干渉せず、JVMは常にディレクティブを処理します。一方、セキュリティ・プロパティの後半で定義されたセキュリティ・プロパティまたは後続のincludeによって取り込まれたセキュリティ・プロパティは、名前が同じ場合、それより前の定義をオーバーライドします。

ファイルを含めることができない場合、JVMはエラーを生成します。これは、ファイルを解決できないか、ファイルが存在しないか、ディレクトリであるか、JVMがファイルを読み取るための十分な権限がないか、再帰的に複数回含まれているか、またはその他の理由で発生する可能性があります。

インクルードされたセキュリティ・プロパティ・ファイルには、循環参照が発生しないかぎり、他のファイルを再帰的に含めることができます。たとえば、java.securityにセキュリティ・プロパティ・ファイルA.securityが含まれ、A.securityにセキュリティ・プロパティ・ファイルB.securityが含まれているとします。循環参照が発生するため、セキュリティ・プロパティ・ファイルB.securityにA.securityを含めることはできません。