我对@987654321@ 和jssecacerts 文件之间的区别感到非常困惑。
我知道默认情况下 java 会查找 jssecacerts 文件,然后是 cacerts 文件。
但是jssecacerts 文件的意义何在?
我的理解是,如果需要使用新的信任库,则应制作 cacerts 的副本,并将所有新的受信任 CA 添加到该副本中。然后-Djavax.net.ssl.trustStore 系统属性应引用cacerts 的副本(带有新的CA)。这样,在该机器上运行的其他 Java 应用程序就不会意外信任非默认 CA。
【问题讨论】:
标签: java ssl jsse truststore
来自Java™ Secure Socket Extension (JSSE) Reference Guide、TrustManagerFactory 使用以下步骤尝试查找信任材料:
javax.net.ssl.trustStore
java-home/lib/security/jssecacertsjava-home/lib/security/cacerts(默认发货)我认为这是基于约定优于配置的概念。无需额外的编码工作,将使用cacert。对于额外的私有 CA/签名证书,开发人员可以使用第一种或第二种方式,前者可能只包含一个特定的证书,但后来包含一个证书列表。
【讨论】:
据我了解,cacerts 文件是出厂默认文件。
如果有 jssecacerts 文件,则它是专门使用的 - 不是在 cacerts 文件之外使用。
我的建议:保留 cacerts 文件,复制到 jssecacerts 并将所需的任何私有 CA/签名证书添加到 jssecacerts 文件中。
【讨论】:
keytool 从 jssecacerts 添加/远程证书,而无需担心更改 Java 附带的默认值 (cacerts)。撤消任何更改就像从目录中删除 jssecacerts 一样简单。
好问题。我认为这源于 JSSE 曾经是一个附加组件的历史事实。 JSSE 确实允许多个提供者,所以jssecacerts 可能仅适用于 JSSE 提供者,其他提供者可能会使用自己的。
但谁在 JSSE 之前使用 cacerts 是另一个问题。
【讨论】: