My Dev OPs team would like to make use of an Intermediate CA certificate in our Java keystore. I believe adding an intermediate certificate into the keystore is the same process as as adding a "regular cert", correct? Are there any "gotchas" I need to be aware of? Also, how do I verify in testing that Java is using the intermediate cert as opposed to checking back with the CA?
Bru*_*uno 10
您需要在证书链方面进行推理.中间CA证书的目标是让远程方在最终实体证书(例如服务器或客户端证书本身)与链上的另一个CA证书之间建立链.
如果您正在讨论将此中间CA证书导入到将用作信任库的密钥库中,那么该CA证书是中间证书还是"根"CA证书并不重要:它将成为受信任的锚点,如另一个用于使用该信任库的应用程序.
如果您正在谈论用作密钥库的密钥库,则需要确保您的EEC将与正确的链一起呈现.
例如,假设CA_1颁发CA_2证书,CA_2颁发服务器S的证书.您的客户端在其可信锚点(但不一定是CA_2)中具有证书CA_1:您需要提供链"S,CA_2",这样他们就可以通过CA_2验证链(否则,他们不知道如何将CA_1链接到S).
为此,您需要确保S及其私钥的条目包含它需要发送的链(S,CA_2),而不仅仅是证书S.在密钥库中的单独条目中导入CA_2将不会生成JSSE构建出示证书时的链条.
在这个答案中描述了如何这样做(虽然这是从客户端证书的角度来看).
按顺序回答您的问题:
我认为在密钥库中添加中间证书与添加"常规证书"的过程相同,对吗?
是.例如,请参阅此VMWare有关安装中间CA的文档.
我需要注意哪些"陷阱"?
只有每个中间CA都需要它自己的别名.
另外,如何在测试中验证Java是否使用中间证书而不是使用CA进行检查?
如果您只是想验证它没有检查根CA,那么就不要安装它,并且您知道它无法使用.
更新:回应@Bruno的评论,可以公平地指出,这个答案只能解决问题中提出的问题.我在这里假设已经处理了围绕信任和证书分发的问题,以及首先拥有中间CA的正常原因,并且这是期望的解决方案.有关这些问题的更多信息,您应该看看Bruno的答案.