一尘不染

使用Java标准密钥库是一种不好的做法

tomcat

我们一直在使用Java标准密钥库($JAVA_HOME/jre/lib/security/cacerts)作为tomcat的受信任存储。并且该tomcat服务器将与其他服务器通信。最近的OS(AIX)升级显然覆盖了该文件的文件,$JAVA_HOME/jre/lib/security/cacerts从而导致证书丢失和tomcat中托管的应用程序出现很多问题。

看看这是在$ JAVA_HOME / jre / lib / security /
cacerts上中继的不好做法吗?有哪些替代(更好)的方法来解决这种情况?


阅读 338

收藏
2020-06-16

共1个答案

一尘不染

cacerts文件中的内容而言,这不一定比依赖于操作系统或浏览器中安装的默认CA证书更糟糕的做法,但这并不意味着它很好。

Sun /
Oracle在《JSSE参考指南》中间的某个地方有一些“重要说明”

重要说明:JDK随附了/ lib / security /
cacerts文件中有限数量的受信任的根证书。如keytool中所述,如果您将此文件用作信任库,则有责任维护(即添加/删除)此文件中包含的证书。

根据您联系的服务器的证书配置,您可能需要添加其他根证书。从适当的供应商处获取所需的特定根证书。

在配置方面,对于必须安装“本地”
CA证书的特定应用程序,我发现使用本地信任库(例如,通过指定javax.net.ssl.trustStore)更加稳定。

2020-06-16