向 Java 应用程序添加根证书颁发机构

Ezw*_*wig 10 fedora centos java ssl certificates

我已经在 CentOS7 上安装了 Jenkins,并且在尝试更新/安装插件时遇到了 SSL 错误。经过一番调查,结果发现我在 Java CA 存储中缺少根 CA 证书。

我使用该keytool实用程序将缺少的 CA 证书添加到 Java CA 存储中并且它起作用了。但是,我觉得必须篡改它很烦人。

有没有办法让Java继承系统信任的根CA证书?如果是,如何?

slm*_*slm 15

只需将您的证书文件复制到 CentOS 7.x 上的此目录:

$ sudo cp <cert file> /etc/pki/ca-trust/source/anchors/
Run Code Online (Sandbox Code Playgroud)

将证书文件放入此目录后,运行此命令以使用此新添加的证书更新系统:

$ sudo update-ca-trust
Run Code Online (Sandbox Code Playgroud)

爪哇呢

如果您浏览手册页,update-ca-trust您将看到以下部分:

$ man update-ca-trust

...

/etc/pki/java/cacerts

经典文件名,文件包含用于 TLS 服务器身份验证使用的可信 CA 证书列表,采用 Java 密钥库文件格式,没有不信任信息。此文件是一个符号链接,指向由 update-ca-trust 命令创建的合并输出。

如果您查看该文件,您可以看到它如何插入/etc/pki目录结构的其余部分:

$ ll /etc/pki/java/cacerts
lrwxrwxrwx. 1 root root 40 May  2 10:41 /etc/pki/java/cacerts -> /etc/pki/ca-trust/extracted/java/cacerts
Run Code Online (Sandbox Code Playgroud)

如果我们keytool针对它运行 Java :

$ keytool -list -keystore /etc/pki/java/cacerts -storepass changeit |& head
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 155 entries

hellenicacademicandresearchinstitutionsrootca2011, May 2, 2018, trustedCertEntry,
Certificate fingerprint (SHA1): FE:45:65:9B:79:03:5B:98:A1:61:B5:51:2E:AC:DA:58:09:48:22:4D
taiwangrca, May 2, 2018, trustedCertEntry,
Certificate fingerprint (SHA1): F4:8B:11:BF:DE:AB:BE:94:54:20:71:E6:41:DE:6B:BE:88:2B:40:B9
teliasonerarootcav1, May 2, 2018, trustedCertEntry,
Run Code Online (Sandbox Code Playgroud)

您可以看到上面已经选择了所有可用的证书,并且它们被自动合并到这个 Java JKS 文件中。该文件可用于系统上运行的任何 Java 应用程序。

参考