等等,哪个证书过期了?如果是他们的,则不需要向您发送新文件(毕竟,当 stackoverflow.com 的 SSL 证书过期并且他们安装了新文件时,您不必更新浏览器)。如果您正在执行相互身份验证(客户端证书身份验证),则涉及四个证书:您的证书、他们的证书、签署您的证书的颁发机构的证书以及签署他们的证书的颁发机构的证书。他们向您发送他们的证书,您检查它是否由您信任的证书颁发机构正确签名(这就是信任库的用途 - 它是您信任的证书颁发机构的列表,可以从他们那里签署证书)。随后,您发送您的证书,他们会检查它是否由他们信任的证书颁发机构正确签名。(当然,所有这些都是在 JSSE 的幕后通过 SSL 握手过程自动为您完成的)
请记住,证书是(签名的)断言,即某某名称由特定的公钥标识。因此,如果他们的证书过期,他们将生成一个新证书,由您已经信任的 CA 对其进行签名,然后用这个证书替换旧证书。当您的软件(自动,作为幕后 SSL 握手的一部分)获得新软件时,它将检查签名者(“发行者”)是谁,以及它是否在您的受信任机构列表中(并正确签名)。如果这签出,您将自动接受它。他们不需要向您发送任何带外信息来实现这一点,除非他们正在更改证书颁发机构并且您还没有信任新的证书颁发机构。如果是这样,您可以使用
keytool -import -keystore <truststore> -file <certificate file> -alias <someca>
另一方面,如果您的证书已过期,那么他们不应该向您发送任何未经请求的东西。相反,您应该通过以下方式生成 CSR:
keytool -genkey -alias <myalias> -keystore <keystore>.p12 -storetype pkcs12
keytool -certreq -alias <myalias> -file request.csr -keystore <keystore>.p12 -storetype pkcs12
这将使用新的私钥更新密钥库并创建一个名为“request.csr”的文件,然后您应该将其发送给他们(或他们的信任库中的 CA)以进行签名。他们将使用签名证书进行响应,然后您将使用以下命令将其导入您的密钥库:
keytool -import -alias <myalias> -file <signed certificate>.cer
如果我不得不猜测,看起来他们试图为您执行这三个步骤,并试图向您发送无效的证书和相应的私钥 - Java 将(正确!)尽力阻止您导入那是因为当他们通过不受信任的渠道(我猜是电子邮件?)发送私钥时,私钥本身就被污染了,这违背了 PKI 的目的——除了你之外,没有人可以访问你的私钥。