Neden java'nın hem önek hem de jssecacerts dosyaları var?

Question

cacerts ve jssecacerts dosyaları arasındaki farklar konusunda ciddi olarak kafam karıştı.

Varsayılan olarak java'nın jssecacerts dosyasını ve ardından cacerts dosyasını görüntülediğini biliyorum.

jssecacerts dosyasının adı nedir?

Anlayışım, yeni bir güven deposunun kullanılması gerekiyorsa, cacerts kopyasının yapılması ve tüm yeni güvenilen CA'ların bu kopyaya eklenmesinin gerekmesidir. cacerts kopyasının (yeni CA'larla) daha sonra -Djavax.net.ssl.trustStore sistem özelliği tarafından başvurulması gerekir. Bu şekilde, o makinede çalışan diğer java uygulamaları, varsayılan olmayan CA'lara yanlışlıkla güvenmeyecektir.

Answer 1

İyi soru. Bence JSSE'nin bir kez bir eklenti olduğu tarihsel gerçeğinden kaynaklanıyor. JSSE, birden fazla sağlayıcıya izin verir, bu nedenle belki de jssecacerts sadece JSSE sağlayıcısı içindir ve diğer sağlayıcılar kendi başlarına kullanabilir.

Ancak JSSE'den önce kepçe kullanan kişiler başka bir sorudur.

Answer 2

Anladığım kadarıyla, cacerts dosya sevk edilen varsayılan dosyadır.

jssecacerts dosya varsa, yalnızca cacerts dosyasına ek olarak kullanılmaz.

Benim önerim: cacerts dosyasını saklayın, jssecacerts'a kopyalayın ve jssecacerts dosyasına gereken özel CA/İmzalama eklerini ekleyin. Java™ Secure Socket Extension (JSSE) Reference Guide itibaren

Answer 3

, TrustManagerFactory güven materyali bulmak için denemek için aşağıdaki adımları kullanır:

1. sistem özelliği javax.net.ssl.trustStore
2. java-home/lib/security/jssecacerts
3. java-home/lib/security/cacerts (varsayılan olarak sevk)

Bunu düşünmek konfigürasyon kavramı üzerinde sözleşmeye dayanmaktadır. Ek kodlama çabaları olmadan, cacert kullanılacaktır. Ekstra özel CA/İmzalama sertifikaları için, bir geliştirici ya birinci ya da ikinci yolu kullanabilir, eskide sadece belirli bir sertifika içerebilir ancak daha sonra bir liste listesi içerir.