Java 키 스토어의 중간 CA 인증서

Question

My Dev OP 팀은 Java 키 스토어에서 중간 CA 인증서를 사용하고자합니다. 중간 인증서를 키 스토어에 추가하는 것은 "일반 인증서"를 추가하는 것과 동일한 프로세스입니다. 맞습니까? 내가 알아야 할 "잡았다"가 있습니까? 또한 Java가 CA와 다시 확인하는 것과 반대로 중간 인증서를 사용하고 있는지 테스트에서 어떻게 확인합니까?

Answer 1

위해 귀하의 질문에 대답하려면 :

나는 등 올바른는 "일반 인증서"를 추가하는 것과 같은 과정은 키 스토어에 중간 인증서를 추가 믿고?

예. 예를 들어 this VMWare documentation on installing intermediate CA's을 참조하십시오.

내가 알아야 할 "잡았다"가 있습니까?

모든 중간 CA에는 고유 한 별칭이 필요합니다.

또한 Java에서 중간 인증을 사용하고 있음을 CA에서 확인하는 대신 검증하는 방법은 무엇입니까?

루트 CA를 확인하지 않으려는 경우 설치하지 않고 사용할 수 없다는 것을 알고 있어야합니다.

업데이트 : @Bruno의 의견에 응답하여이 대답은 질문에서 제기 된 문제 만 해결한다는 점을 지적하는 것이 적절합니다. 여기서는 중간 CA를 갖는 일반적인 이유 인 신뢰 및 인증서 배포와 관련된 문제가 처리되었으며 원하는 솔루션이라고 가정합니다. 이러한 문제에 대한 자세한 내용은 Bruno's answer을 참조하십시오.

Answer 2

인증서 체인의 관점에서 추론해야합니다. 중간 CA 인증서의 목적은 원격 당사자가 최종 엔티티 인증서 (예 : 서버 또는 클라이언트 인증서 자체)와 다른 CA 인증서 사이의 체인을 구축하도록하는 것입니다.

이 중간 CA 인증서를 신뢰 저장소로 사용할 키 저장소로 가져 오는 경우, 해당 CA 인증서가 중간 인증서인지 또는 "루트"CA 인증서인지는 중요하지 않습니다. 해당 트러스트 스토어를 사용하는 응용 프로그램의 다른 것과 같은 신뢰할 수있는 앵커

키 저장소로 사용되는 키 저장소에 대해 이야기하는 경우 올바른 체인과 함께 EEC가 제공되는지 확인해야합니다.

예를 들어, CA_1이 서버 S에 대한 인증서를 발행하는 CA_2에 대한 인증서를 발행한다고 가정 해 보겠습니다. 클라이언트는 신뢰할 수있는 앵커 (CA_2는 아님)에 인증서 CA_1을 가지고 있습니다. S, CA_2 "로 설정되어 CA_2를 통해 체인을 확인할 수 있습니다 (그렇지 않으면 CA_1을 S에 연결하는 방법을 알지 못합니다).

이렇게하려면 인증서 S가 아니라 S와 해당 개인 키의 항목에 송신해야하는 체인 (S, CA_2)이 포함되어 있는지 확인해야합니다. 키 스토어의 별도 항목에 CA_2를 가져 오면 인증서 S를 제시 할 때 JSSE가 당신을위한 체인을 만들어야한다.

자세한 방법은 this answer에 설명되어 있습니다 (이는 클라이언트/인증 기관의 관점에서 설명했지만).