Javaキーストアの中間CA証明書

Question

My Dev OPチームは、Javaキーストアで中間CA証明書を使用したいと考えています。キーストアに中間証明書を追加することは、「通常の証明書」を追加するのと同じプロセスであると思います。私が知っておく必要のある「邪魔」はありますか？また、Javaで中間証明書を使用していることを検証するにはどうすればよいですか？順序であなたの質問に答えるために

Answer 1

：

私はキーストアに中間証明書を追加すると、正しい、「定期的な証明書」を追加するのと同じプロセスであると考えていますか？

はい。たとえば、this VMWare documentation on installing intermediate CA'sを参照してください。

知っておく必要がある「落書き」はありますか？

すべての中間CAには、それ自身のエイリアスが必要です。

また、Javaで中間証明書を使用していることを検証するにはどうすればよいですか？

ルートCAをチェックしないことを確認したい場合は、インストールしないでください。使用できないことがわかります。

更新：@Brunoからのコメントに応じて、この回答は質問で提起された問題のみに対処することが明らかです。ここでは、中間CAを最初に持つ通常の理由である信頼と証明書の配布に関する問題が処理され、これが望ましいソリューションであると仮定しています。これらの問題の詳細については、Bruno's answerをご覧ください。

Answer 2

証明書チェーンに関して理由が必要です。中間CA証明書の目的は、リモートエンティティにエンドエンティティ証明書（例えば、サーバまたはクライアント証明書自体）と、チェーンの上にある別のCA証明書との間のチェーンを構築させることである。

この中間CA証明書をトラストストアとして使用するキーストアにインポートする場合は、そのCA証明書が中間証明書であるか、「ルート」CA証明書であっても関係ありません。そのトラストストアを使用するアプリケーションのための信頼できるアンカーです。

キーストアとして使用されるキーストアについて説明している場合は、EECが正しいチェーンと共に表示されるようにする必要があります。

たとえば、CA_1がサーバーSの証明書を発行するCA_2の証明書を発行したとします。 クライアントは信頼できるアンカーに証明書CA_1を持っていますが、必ずしもCA_2である必要はありません。 S、CA_2 "になり、CA_2を介してチェーンを検証することができます（そうでなければ、CA_1をSにリンクする方法がわかりません）。

これを行うには、証明書Sだけでなく、送信する必要があるチェーン（S、CA_2）がSとその秘密キーのエントリに含まれていることを確認する必要があります。キーストアの別のエントリにCA_2をインポートすると、証明書Sを提示するときにJSSEを作成する

これは、this answerに記載されています（これはクライアント証明の観点からのものです）。