My Dev OP 팀은 Java 키 스토어에서 중간 CA 인증서를 사용하고자합니다. 중간 인증서를 키 스토어에 추가하는 것은 "일반 인증서"를 추가하는 것과 동일한 프로세스입니다. 맞습니까? 내가 알아야 할 "잡았다"가 있습니까? 또한 Java가 CA와 다시 확인하는 것과 반대로 중간 인증서를 사용하고 있는지 테스트에서 어떻게 확인합니까?Java 키 스토어의 중간 CA 인증서
답변
위해 귀하의 질문에 대답하려면 :
나는 등 올바른는 "일반 인증서"를 추가하는 것과 같은 과정은 키 스토어에 중간 인증서를 추가 믿고?
예. 예를 들어 this VMWare documentation on installing intermediate CA's을 참조하십시오.
내가 알아야 할 "잡았다"가 있습니까?
모든 중간 CA에는 고유 한 별칭이 필요합니다.
또한 Java에서 중간 인증을 사용하고 있음을 CA에서 확인하는 대신 검증하는 방법은 무엇입니까?
루트 CA를 확인하지 않으려는 경우 설치하지 않고 사용할 수 없다는 것을 알고 있어야합니다.
업데이트 : @Bruno의 의견에 응답하여이 대답은 질문에서 제기 된 문제 만 해결한다는 점을 지적하는 것이 적절합니다. 여기서는 중간 CA를 갖는 일반적인 이유 인 신뢰 및 인증서 배포와 관련된 문제가 처리되었으며 원하는 솔루션이라고 가정합니다. 이러한 문제에 대한 자세한 내용은 Bruno's answer을 참조하십시오.
인증서 체인의 관점에서 추론해야합니다. 중간 CA 인증서의 목적은 원격 당사자가 최종 엔티티 인증서 (예 : 서버 또는 클라이언트 인증서 자체)와 다른 CA 인증서 사이의 체인을 구축하도록하는 것입니다.
이 중간 CA 인증서를 신뢰 저장소로 사용할 키 저장소로 가져 오는 경우, 해당 CA 인증서가 중간 인증서인지 또는 "루트"CA 인증서인지는 중요하지 않습니다. 해당 트러스트 스토어를 사용하는 응용 프로그램의 다른 것과 같은 신뢰할 수있는 앵커
키 저장소로 사용되는 키 저장소에 대해 이야기하는 경우 올바른 체인과 함께 EEC가 제공되는지 확인해야합니다.
예를 들어, CA_1이 서버 S에 대한 인증서를 발행하는 CA_2에 대한 인증서를 발행한다고 가정 해 보겠습니다. 클라이언트는 신뢰할 수있는 앵커 (CA_2는 아님)에 인증서 CA_1을 가지고 있습니다. S, CA_2 "로 설정되어 CA_2를 통해 체인을 확인할 수 있습니다 (그렇지 않으면 CA_1을 S에 연결하는 방법을 알지 못합니다).
이렇게하려면 인증서 S가 아니라 S와 해당 개인 키의 항목에 송신해야하는 체인 (S, CA_2)이 포함되어 있는지 확인해야합니다. 키 스토어의 별도 항목에 CA_2를 가져 오면 인증서 S를 제시 할 때 JSSE가 당신을위한 체인을 만들어야한다.
자세한 방법은 this answer에 설명되어 있습니다 (이는 클라이언트/인증 기관의 관점에서 설명했지만).
- 1. SSL 인증서 중간 CA
- 2. FreeIPA 외부 CA (중간 CA)
- 3. CA 인증서 위치
- 4. LetsEncrypt : LetsEncrypt의 중간 인증서
- 5. EC2 Load Balancer - CA 번들 SSL/중간 인증서 설치
- 6. 인증서, 중간 인증서 및 개인 키로 키 저장소 만들기
- 7. Curl CA 인증서 문제
- 8. 는 CA 인증서
- 9. SNI가있는 CA 인증서?
- 10. CA 인증서 다시 설치 - Tomcat
- 11. Windows 키 스토어에서 중간 CA에 Java 액세스가 가능합니까?
- 12. 중간 CA 인증서가있는 키스톤 SSL 설정
- 13. Bluemix의 truststore.jks에 CA 인증서 누락
- 14. Azure의 클라이언트 인증서 인증 및 CA 인증서
- 15. 내부 CA CSR이없는 인증서 (인증서 요청)
- 16. 파이썬 SSL 서버는 중간 CA 인증서를 제공하는
- 17. 신뢰할 수있는 CA 인증서 문제는
- 18. Java Trusting ssl CA
- 19. Google Cloud SQL CA 인증서
- 20. CA 루트 인증서 번들 용도?
- 21. Java 키 스토어에서 인증서 받기
- 22. QuickFIX/J CA 인증서 유효성 확인
- 23. 어디에서 중간 인증서 번들을 얻을 수 있습니까?
- 24. iOS 자체 서명 CA 인증서 및 자체 생성 인증서
- 25. AWS Iot CA 인증서 정보 얻기
- 26. java 키 저장소의 인증서 만기일 확인
- 27. Windows에서 StartCom CA 인증서 가져 오기 JRE
- 28. Java 키 스토어에서 개인 키/공용 인증서 쌍 가져 오기
- 29. 배포 인증서 대 앱 스토어의 라이브 앱
- 30. 안드로이드 키 스토어의 만료일 찾기
실제로주의해야 할 문제가 있습니다. 별칭 이름 지정이 걱정거리 중 가장 적습니다. CA와의 연락과 관련이 있는지 확실하지 않습니다. 인증서 해지는 CA에 대한 온라인 연결을 사용하며 신뢰할 수있는 인증서 체인을 구축하지 않습니다. – Bruno
@ 브루노 (Bruuno) "CA에 연락하는 것"에 관해서, 당신은 맞습니다 ... 그 두뇌 방구가 어디서 왔는지는 확실하지 않습니다. 결정된. Jay가 요청한 문제 만 처리 할 때 신뢰 설정 체인을 볼 때 고려해야 할 다른 문제가 있다는 점은 맞습니다. 그렇다면 무시할 수 있습니다. 그러나 나는 그들이 무시 당하고 있다고 지적하는 성명서를 추가 할 것이다. –