我试图了解一些有关SSL证书及其签名的问题。
我的需求:我需要能够添加(生成?)客户端证书以允许他们使用我的API。
我的问题:如果更改了java信任库以便修改可用,似乎需要重新加载Wildfly。
我的理解:这是一个错误的问题方法,应该做的是以下几点:
这样,只有我的CA证书需要在我的Java密钥库上,并且通过CA验证链,我的客户端才会被允许在我的服务上。
问题:
keytool实用程序的情况下完成吗?我想尽可能使用java来做到这一点,而不是依赖于操作系统。感谢您提供的所有指示。
好,
既然它可以帮助别人,我会把我的各种测试帮助我弄清楚。 :
据我所知:是的为什么我不确定呢?因为我的开发环境以及我无法拥有有效域的真实有效证书来测试它,因此我遇到了一些测试限制。
因此,他们需要发送签名才能实现CSR(证书签名请求)及其公钥。
keytool实用程序的情况下完成吗?我想尽可能使用java来做到这一点,而不是依赖于操作系统。这应该是使用Bouncycastle库可行的。我正在使用应该因为我没有实施它,稍后会更多。
我仍然不清楚,但似乎证书签名上存在某种范围,阻止任何人伪造实际的CA.任何能够更加确定知识的人都欢迎。
我实际上最终做了什么:
作为我们自己的CA会有太大的障碍,所以我们实际要做的是让我们的客户从已知的CA获取他们的证书并将这些CA证书添加到我们的信任库。这与以前的原理相同,但我们将利用实际的CA来源,而不是我们在CA上玩。
希望这可以帮助那些有某种同等要求的人。