外行术语中的信任库与密钥库

Question

我试图以通俗的方式理解信任库和密钥库之间的区别。它们与 java 中的 cacerts 有什么关系？我经历了很多线程，但仍然无法理解何时使用密钥库以及何时使用信任库。

当我尝试通过 https 对 Web 服务进行 API 调用时，我不断收到 SSL 证书问题。 HTTPS 服务使用的是自签名证书，我将证书导入到我的 cacert，但问题仍然存在。我必须在哪里导入此服务器证书？如果导入解决了问题，我在部署应用时是否需要在其他环境中导入证书？

我们的应用程序使用了一个 JKS 文件，它需要什么？当我查看 JKS 文件时，我看到其中有 2 个证书。我们为什么要使用它？

对于信任库，我看到人们说信任我们自己。我们靠什么相信自己？信任库是否使用任何证书？我应该什么时候使用密钥库而不是信任库？

对理解这一点的任何帮助都会对我很有帮助。

Answer 1

Truststore - 一个容器，其中包含应该被应用程序接受的证书，也就是受信任的证书。这可以是例如自签名证书或由不在全局列表 CA 中的 CA 机构签名的证书。例如，公司可以拥有自己的 CA 以允许使用自己的证书。将此类 CA 添加到您的信任库（应用程序或将其安装在系统中）将验证 CA 签署的所有其他证书。

Keystore - 存放私钥的容器。这允许应用程序接受使用相应公钥初始化的通信。

在 Java 中，它们都可以是 JKS 格式，并且它们在“技术上”是相同的。出于安全原因，您在逻辑上将它们分成 2 个容器。

您可能不知道的是，PKI 的工作方式是您始终拥有一对唯一的公钥和私钥。公钥用于加密通信，而私钥用于解密。当客户端通过 SSL 通道连接时，它使用公钥来建立密钥交换。如果服务器身份是合法的，它将拥有私钥并且能够进行交换。

现在回答你的问题

我必须在哪里导入此服务器证书？如果进口 解决了问题，我需要在其他地方导入证书吗 部署应用程序时的环境？

服务器必须拥有私钥才能成功进行 SSL 握手。它还使用相应的公钥（即在证书中）介绍自己。如果该证书由全球受信任的 CA 签名 - 无需执行任何操作 - 证书将被信任。如果不是（自签名、私有 CA），则必须将其添加到客户端信任库中，以告知应用程序应该信任此特定证书，尽管没有公共权威保证。

如果导入解决了问题，是否需要导入证书 在其他环境中部署应用程序时？

必须告知每个系统它应该信任该特定证书。如果客户端应用程序是您专有的，您可以随其分发信任库。

对于信任库，我看到人们说信任我们自己。我们是什么 相信自己？

通过将给定证书添加到“信任列表” - 信任存储。它的字面意思是，可以连接到使用该特定证书介绍自己的服务器（仍然必须拥有私钥来验证自己）

信任库是否使用任何证书？

信任库只是一个容器。

什么时候应该使用密钥库而不是信任库？

已经回答，但是 - 使用信任库表示使用某些公钥进行连接是安全的，尽管事实上它没有由全局 CA 签名。在服务器端使用密钥库以允许进行正确的握手。