一尘不染

是否需要为Tomcat的pkcs12证书添加Ca证书

tomcat

我正在从客户中导入证书和密钥,并为tomcat创建PKCS12证书。tomcat配置为使用此证书作为密钥库。我是否还需要从客户导入CA证书?如果是,为什么?


阅读 363

收藏
2020-06-16

共1个答案

一尘不染

如果颁发您的证书的CA证书是“根” CA证书(即,它是自签名的),则没关系:如果验证该证书的一方尚未在其信任锚中拥有该证书,则不会有任何事情相信它。

当CA证书是中间CA证书时,通常更有用。在这种情况下,服务器必须显示完整的证书链(根CA除外,根CA出于上述原因是可选的)。由于远程方可能没有这些中间CA证书作为已知的信任锚,但是可能信任发布该中间CA证书的CA证书,因此这使他们更有可能能够建立从其信任锚到证书的信任链。核实。

严格来说,您 不需要 提供完整的链,但是这样做可以使您的证书更有可能被接受。

(这几乎与该问题中的问题相同。此外,您正在谈论的是PKCS#12存储,因此无论如何,您通常都应该使用正确的“别名”(使用Java术语)导入CA文件。

话虽如此,私钥通常应保持私密。如果您尝试实现自己的CA,则可以在浏览器中执行一些机制,而无需在任何地方发送私钥,这将使用户拥有一个PKCS#12文件作为回报(如果他们选择导出自己的cert+从那里找到钥匙)。

2020-06-16