자바 트러스트 스토어

Question

개인 키의 키 스토어 작동 방식을 알고 있습니다. 기본적으로 키 스토어를 생성하고 키를 생성/서명/저장하며 별칭을 기반으로 컨테이너 (JBoss, Tomcat, WebLogic 또는 WebSphere)는 초기화 중에 적절한 키를로드합니다. 제 질문은 트러스트 스토어와 관련이 있습니다. 컨테이너가 Thawte에 의해 서명 된 키를 가진 외부 웹 사이트에 요청을하면 컨테이너는 SSL 트러스트에서 제공 할 공개 키를 어떻게 확인하여 SSL 핸드 셰이크를 완료 할 수 있습니까? 트러스트 스토어에는 분명히 별칭이 있지만 컨테이너가 원격 사이트에 대한 연결을 호출 할 때 별칭을 사용하여 일치하는 공개 키를 찾으면 정말 의심 스럽습니다.

Answer 1

일치하는 공개 키를 제공하거나 찾을 필요가 없습니다. 피어에 의해 제공된 인증서에 공개 키가 이미 있습니다. 피어에 의해 제공되는 인증서 체인에서 인증서와 일치하는 트러스트 스토어에서 인증서를 찾아야합니다. 즉, SubjectDN이 들어오는 IssuerDN과 일치하는 인증서를 찾아야합니다. 별칭은 SSL 프로토콜의 일부가 아닌 전송되지 않으므로 들어 가지 않습니다.