SSLクライアント - いつ証明書が必要ですか？

Question

私はこれを持っています：

 SSLSocketFactory factory = HttpsURLConnection.getDefaultSSLSocketFactory(); 
    SSLSocket socket = (SSLSocket) factory.createSocket("www.verisign.com", 443); 

これは、 "接続が拒否されました"というエラーで2行目で失敗しています。

これで、上記の作業を行う前に、私のトラストストアにverisignの証明書をインストールする必要がありますか？ SSLサーバーに接続してgetPeerCertificates（）を実行して証明書を取得できるという印象を受けました。これは私たちのブラウザがするものではありませんか？それ以外の場合は、どの署名機関を使用するかをどのように知っていますか？

（明らかに私はVerisignを例として使用しています。私の実際のURLはここではあまりにも醜いので...）

Answer 1

接続が拒否されたということは、ターゲットのホスト：ポートでリッスンしていないこと、またはファイアウォールが途中に入ったことを意味します。これは、論理的にも時間的にもSSLの前にあります。

Answer 2

では、リモートサービスが稼働して実際にあることを確認し、あなたができることを持っていますそれに接続しますか？おそらく、 "Connection refused"エラーは実際には拒否された接続です。 :-)

Answer 3

通常、サーバーの証明書をコンピュータに明示的にインストールする必要はありません。 PKIは、システムが事前の知識なしにサーバーの証明書を検証できる方法で動作します。ただし、サーバーの証明書に、既知のCA（つまり、クライアントシステムにルート証明書またはその他の証明書が既にリストされている証明機関）のルートがある場合にのみ有効です。これが当てはまらない場合（例えば、自己署名証明書やその他のカスタム証明書がサーバーにある場合）、クライアントクラスに証明書をインストールしてから、前述のクラスがサーバー証明書を正しく検証できるようにする必要があります。

about certificates and how they are used in SSL hereを読むことができます。