我们一直在使用Java标准密钥库($JAVA_HOME/jre/lib/security/cacerts)作为tomcat的受信任存储。并且该tomcat服务器将与其他服务器通信。最近的OS(AIX)升级显然覆盖了该文件的文件,$JAVA_HOME/jre/lib/security/cacerts从而导致证书丢失和tomcat中托管的应用程序出现很多问题。
$JAVA_HOME/jre/lib/security/cacerts
看看这是在$ JAVA_HOME / jre / lib / security / cacerts上中继的不好做法吗?有哪些替代(更好)的方法来解决这种情况?
就cacerts文件中的内容而言,这不一定比依赖于操作系统或浏览器中安装的默认CA证书更糟糕的做法,但这并不意味着它很好。
cacerts
Sun / Oracle在《JSSE参考指南》中间的某个地方有一些“重要说明” :
重要说明:JDK随附了/ lib / security / cacerts文件中有限数量的受信任的根证书。如keytool中所述,如果您将此文件用作信任库,则有责任维护(即添加/删除)此文件中包含的证书。 根据您联系的服务器的证书配置,您可能需要添加其他根证书。从适当的供应商处获取所需的特定根证书。
重要说明:JDK随附了/ lib / security / cacerts文件中有限数量的受信任的根证书。如keytool中所述,如果您将此文件用作信任库,则有责任维护(即添加/删除)此文件中包含的证书。
根据您联系的服务器的证书配置,您可能需要添加其他根证书。从适当的供应商处获取所需的特定根证书。
在配置方面,对于必须安装“本地” CA证书的特定应用程序,我发现使用本地信任库(例如,通过指定javax.net.ssl.trustStore)更加稳定。
javax.net.ssl.trustStore
