在Eclipse安装期间验证JCE证书
sie*_*egi 6 eclipse certificate jce
在Eclipse的安装过程中(使用Eclipse Installer),我被问到“您信任这些证书吗?”,其中列出了Bouncy Castle的两个证书(一个由Sun签名,一个由Oracle签名)和一个Eclipse的证书(由Sun签名)。如何验证这些证书?
我了解这是JCE(Java密码学扩展)的代码签名证书,即Oracle签署的用于加密,密钥生成和密钥协议以及消息身份验证代码(MAC)算法的证书。我也知道Bouncy Castle通常用于提供与加密有关的算法。
两个问题:
- 所有证书都由相同的两个CA签名,但是我找不到“官方” CA证书指纹的(公共)列表。我如何验证这些?
- 由Sun Microsystems Inc颁发给JCE的JCE代码签名CA,有效期至2020-04-25,指纹57:37:D1:E1:16:2F:F6:FE:26:B9:87:88:D2:86: DA:66:7F:98:54:3C
- 由Oracle Corporation颁发给Oracle Corporation的JCE代码签名CA,有效期至2030-12-31,指纹F4:B9:C6:4A:52:AD:22:3C:E4:BF:BA:52:52:87:9C :9F:71:1D:4B:33
- 为什么默认情况下不信任那些CA,即这些CA包含在JDK / JRE随附的某些信任存储中?CA由Oracle操作(至少CA证书这样说),我使用的JRE由Oracle提供(openjdk 11.0.2),我认为没有理由不信任CA(因为它们确实合法) 。
我相信答案是您在某种程度上被迫信任这些证书。在我的安装(Eclipse 2022-12)中,当我突出显示要求信任的证书之一时,它会显示与该证书关联的捆绑包列表。我当然熟悉其中的许多捆绑包,并且认为如果不安装它们,您可能会遇到错误的安装,或者如果不安装它们,可能会发生奇怪的事情。为了让您对信任他们的决定感觉更好,您唯一可以做的就是确保您根据从 eclipse.org 下载的 eclipse 安装程序验证了 sha-512 哈希代码。我几乎对从互联网下载和安装的所有内容都这样做。如果您信任安装程序,那么正如我之前所说,您可能应该信任它要求您安装的资源。我相信所使用的信任存储来自您选择的 JRE(即 jdk-17\lib\security\cacerts)。我被要求信任的证书之一已过期,并且我正在使用 JRE-17 进行安装。并且一些被要求安装的捆绑包没有签名。