java 信任库

Question

我了解密钥库如何为私钥工作。基本上，您创建一个密钥库，生成/签名/存储密钥，并根据别名，容器（JBoss、tomcat、WebLogic 或 WebSphere）将在初始化期间加载适当的密钥。 我的问题与信任库有关。如果容器向外部网站发出请求，该网站的密钥由 Thawte 签名，容器如何知道从其信任库提供哪个公钥以允许完成 ssl 握手？信任库肯定有一个别名，但是当容器调用到远程站点的连接时，我真的怀疑它是否使用别名来查找匹配的公钥。

Answer 1

它不必提供甚至找到匹配的公钥。公钥已经存在于对等方提供的证书中。它必须在信任库中找到与对等方提供的证书链中的证书匹配的证书：即，它必须找到其 SubjectDN 与传入的 IssuerDN 匹配的证书。当然别名不会出现在其中，因为它们不会被传输，也不是 SSL 协议的一部分。