Tomcat 服务器信任库根证书答案

【问题标题】：Tomcat server truststore root certificateTomcat 服务器信任库根证书
【发布时间】：2012-08-15 07:23:30
【问题描述】：

我需要信任我的 tomcat 上的客户端证书，我已将根 (verisign) 和客户域证书添加到服务器信任库，它工作正常并接受客户端连接。

现在的问题是，将根威瑞信证书添加到信任库是否接受由该威瑞信证书签名的任何内容？或者只有当我将它添加到 cacerts 时才会出现这种情况？将其留在信任库中是否安全？

我在 linux 上使用 tomcat 6 和 java 1.6

谢谢

【问题讨论】：

【解决方案1】：

将根威瑞信证书添加到信任库是否接受由该威瑞信证书签名的任何内容？

是的。您的应用程序仍需要根据分配给证书标识的用户的角色执行授权步骤。您不应该尝试仅使用信任库和证书来执行此操作，这不是该机制的目的。它在那里进行身份验证。你说的是授权。

注意您使用的是本地信任库而不是 JRE 的 cacerts 文件。

【讨论】：

太好了，感谢 EJP，我们确实在应用程序中进行了进一步的身份验证，但我想最好还是不要将 CA 放在信任库中？
我认为你需要有完整的信任链，它从CA开始。通常的设置是：外部 CA - 本地 CA - 服务器 - 客户端。如果您只需要一台服务器，则可以跳过本地 CA，如果您没有使用客户端证书（例如，使用证书对用户进行身份验证），则不必颁发客户端证书。
@kontiki 您必须在信任库中拥有所需的任何内容才能接受客户端证书。作为 SSL 握手的一部分，服务器发送它信任的根 CA 列表，该列表来自信任库，并且客户端将其证书链发送到并包括它可以看到服务器已经信任的第一个根，但没有进一步.