My Dev OPチームは、Javaキーストアで中間CA証明書を使用したいと考えています。キーストアに中間証明書を追加することは、「通常の証明書」を追加するのと同じプロセスであると思います。私が知っておく必要のある「邪魔」はありますか?また、Javaで中間証明書を使用していることを検証するにはどうすればよいですか?順序であなたの質問に答えるためにJavaキーストアの中間CA証明書
答えて
:
私はキーストアに中間証明書を追加すると、正しい、「定期的な証明書」を追加するのと同じプロセスであると考えていますか?
はい。たとえば、this VMWare documentation on installing intermediate CA'sを参照してください。
知っておく必要がある「落書き」はありますか?
すべての中間CAには、それ自身のエイリアスが必要です。
また、Javaで中間証明書を使用していることを検証するにはどうすればよいですか?
ルートCAをチェックしないことを確認したい場合は、インストールしないでください。使用できないことがわかります。
更新:@Brunoからのコメントに応じて、この回答は質問で提起された問題のみに対処することが明らかです。ここでは、中間CAを最初に持つ通常の理由である信頼と証明書の配布に関する問題が処理され、これが望ましいソリューションであると仮定しています。これらの問題の詳細については、Bruno's answerをご覧ください。
証明書チェーンに関して理由が必要です。中間CA証明書の目的は、リモートエンティティにエンドエンティティ証明書(例えば、サーバまたはクライアント証明書自体)と、チェーンの上にある別のCA証明書との間のチェーンを構築させることである。
この中間CA証明書をトラストストアとして使用するキーストアにインポートする場合は、そのCA証明書が中間証明書であるか、「ルート」CA証明書であっても関係ありません。そのトラストストアを使用するアプリケーションのための信頼できるアンカーです。
キーストアとして使用されるキーストアについて説明している場合は、EECが正しいチェーンと共に表示されるようにする必要があります。
たとえば、CA_1がサーバーSの証明書を発行するCA_2の証明書を発行したとします。 クライアントは信頼できるアンカーに証明書CA_1を持っていますが、必ずしもCA_2である必要はありません。 S、CA_2 "になり、CA_2を介してチェーンを検証することができます(そうでなければ、CA_1をSにリンクする方法がわかりません)。
これを行うには、証明書Sだけでなく、送信する必要があるチェーン(S、CA_2)がSとその秘密キーのエントリに含まれていることを確認する必要があります。キーストアの別のエントリにCA_2をインポートすると、証明書Sを提示するときにJSSEを作成する
これは、this answerに記載されています(これはクライアント証明の観点からのものです)。
- 1. VeriSignの中間CA証明書をインストールするには?
- 2. Mavenの中間CA証明書のソースとしてMS Windowsキーストアを使用できますか?
- 3. 証明書キーストアへのアクセス
- 4. SSL中間証明書
- 5. 中間CA証明書に有効な署名がありません
- 6. キーストア、証明書、エイリアスの理解
- 7. Android/Java SSL、キーストア、証明書の参照要求
- 8. javaキーストアで証明書の有効期限を確認する
- 9. キーストアと公開証明書のエイリアスを使用したJavaセキュリティ
- 10. JavaバインディングとクライアントCA証明書付きFTP
- 11. openssl自己署名証明書ファイルからJavaキーストアを作成
- 12. キーストアから証明書を取得するJava
- 13. CA発行のHTTP証明書から子証明書を生成
- 14. Openshift(cacerts)のJava CA証明書ストアに証明書を追加する方法は?
- 15. CA証明書発行によるHTTPS SSL自己署名証明書
- 16. SSL自己署名CA証明書とPHPの問題/認証
- 17. Java証明書とSSL証明書
- 18. Javaキーストアに証明書をインポートしましたが、JVMは新しい証明書を無視します
- 19. 更新 - Javaトラストストアでの自己署名入りCA証明書の更新
- 20. 証明書の冗長中間体の検証
- 21. 公開鍵証明書をキーストアにインポート中にエラーが発生しました
- 22. SNIのCA証明書はありますか?
- 23. iPhoneのトラストストアにプログラムでルートCA証明書を追加する
- 24. ランタイム時にカスタムCAを使用した証明書の署名
- 25. 自分のCAがApacheで発行したクライアント証明書
- 26. java証明書とキーストアでプライベートキーを使用していますか?
- 27. Java SSL接続、サーバー証明書をキーストアにプログラムで追加する
- 28. 信頼できる内部CA証明書を使用してクライアント証明書を検証する方法は?
- 29. キーストア内のSSL証明書が機能しない
- 30. Jailbroken iOSでCA証明書を修正しましたか?
実際には注意が必要な問題があります。これがCAに連絡することと何が関係しているのかは不明です。証明書の失効はCAへのオンライン接続を使用し、信頼できる証明書チェーンを構築することはありません。 – Bruno
@Bruno「CAに連絡すること」に関しては、あなたは正しいです...その脳のおならがどこから来たのかわかりません。一定。 Jayが尋ねた唯一の問題に対処するときには、信頼の設定のチェーンを見るときに考慮すべき他の問題があることは間違いありませんが、これらは無視できます。私はしかし、彼らは無視されていることを指摘する声明を追加します。 –