问题标签 [cacerts]

cacerts : 已经在 PENTAHO_JAVA_HOME 的 JVM 中添加了 cacerts

一些调试结果：

1. 带 HTTPS 的 Tomcat（一切正常）

• 水壶发送请求https://pentaho.foo.com:2000/pentaho/webservices/unifiedRepository?wsdl
• 响应 XML...<import namespace="http://jaxws.webservices.unified.repository2.platform.pentaho.org/" location="https://pentaho.foo.com:2000/pentaho/webservices/unifiedRepository?wsdl=1"/>...

2. Kubernetes NGNIX Ingress 做 HTTPS（无法通过 Spoon/Pan/Kitchen 登录）

• 水壶发送请求https://pentaho.foo.com/pentaho/webservices/unifiedRepository?wsdl
• 响应 XML...<import namespace="http://jaxws.webservices.unified.repository2.platform.pentaho.org/" location="http://pentaho.foo.com:80/pentaho/webservices/unifiedRepository?wsdl=1"/>...

使用 ingress，XML 的响应显然有问题！:(

基于 Java 的 SSL 测试代码不会报告任何问题，并且可以成功 ping 它。

文件：https ://gist.github.com/MatthewJDavis/50f3f92660af72c812e21b7ff6b56354#file-sslpoke-java

但是当我尝试将它添加为存储库时，它给了我

Pentaho Kettle 错误 - 关于存储库创建

-Djavax.net.debug=ssl:handshake使用标志调试

面临此问题的环境：

• 码头工人
• Kubernetes

Jira 问题：https ://jira.pentaho.com/browse/PDI-18956

作为 http 请求验证的一部分，客户端必须在进行 web api REST 调用时向服务器提供 http 授权标头中的 JWT 令牌。

服务器必须使用公共（rsa 安全）证书验证客户端提供的令牌。如果 CA 颁发的服务器上可用的 rsa 证书已过期，应该向客户端返回什么，http 状态码或自定义验证异常？

如果 CA 证书过期意味着，过期适用于其私钥和公钥？我的意思是，我可以使用过期证书的公钥在过期前对其私钥签名的令牌进行签名验证吗？

我正在考虑使用 Ansible java_cert模块从受信任的站点导入证书。

使用 bash 可以使用以下命令来完成

很容易。当我检查时，证书在密钥库中

根据我对 Ansible java_cert的理解，应该使用以下 Ansible YAML 代码来实现相同的目的

每次我运行 Ansible 时，我的任务都会“更改”，这表明 Ansible 正在更新密钥库。但是证书不会“存在”而是丢失。

该命令有一个返回值，表明该命令在没有任何要导入的情况下运行？

这是一个已知问题java_cert吗？这应该如何工作？

安装 whatasppp Business api 遵循链接 https://developers.facebook.com/docs/whatsapp/installation

登录到 https://localhost:9090/

注册时，它需要一个电话号码和一个证书。

为电话号码设置 Whatsapp Business APP，然后在 Facebook 业务经理中添加号码。

但是，无法获得完成注册的证书。链接https://developers.facebook.com/docs/whatsapp/api/account中有说明， 但无法遵循，没有设置选项卡或 whatsapp 管理器按钮来获取第 3 点中提到的证书。

1. 转到 Facebook 商务管理器中的商务设置。
2. 单击帐户菜单下的 WhatsApp 帐户，然后从 WhatsApp 帐户列表中选择您的 WhatsApp 帐户（如果尚未突出显示）。
3. 转到设置选项卡，然后单击 WhatsApp 管理器按钮。
4. 在电话号码选项卡下，您应该会看到列出的电话号码。单击您想要证书的电话号码的查看按钮。

我正在使用 JRE 8u211。而且我在 cacerts 中添加的证书很少。但是当我将 JRE 升级到 8u261 时，这些证书不会被导入。所以现在我想使用别名以编程方式从 8u211 的 cacerts 文件中导出所需的证书，然后将这些证书导入到 8u261 的 cacerts 文件中。

这甚至可能或支持吗？

提前致谢。

Java keytool 命令用于管理 Java 密钥库。在这种情况下，我列出了任何 Java 运行时附带的 cacerts 文件的内容。命令是：

输出如下所示：

在标题之后，每个证书以两行显示，第一行以存储证书的别名（“wizardgeneratedalias”）开头，以“trustedCertEntry”结尾，第二行以“证书指纹”开头。

我想将这两行动态组合成一条，这样我就可以通过管道传递到下一个命令，无论是 grep 还是 sort 或 whatevs。

在 vim 中非常简单：

基本上在这里搜索带有字符串“trustedCert”的任何 (g/) 行，在行尾查找逗号和换行符，然后用逗号和空格替换它。

我从来没有想过如何用 awk 或 sed （无论如何不是真正的 sed 的东西）或 perl 来做到这一点。

谢谢！

我有两个 Tomcat 服务器，具有不同的“cacerts”文件。一方面，运行“keytool -list -keystore cacerts”表示我的密钥库包含 95 个条目，另一方面，它说 96。我尝试保存列表输出并针对它们运行 diff，但证书似乎处于不同的顺序。在我写东西之前，是否有一个智能实用程序可以告诉我文件之间的差异？谢谢！

tl;dr - 获取 KeyStore Explorer ( http://keystore-explorer.org/ ) 并为自己省去一个麻烦。

ps - 密钥库别名设置对于某些 java 应用程序非常重要（例如：iDempiere 在其 Jetty 提供程序 ssl 配置中（.../jettyhome/etc/jetty-ssl-context.xml）。在这些情况下，必须确保java 正在查找的证书的别名与它实际用于查找它的别名匹配。

OP

我需要在 Java 应用程序中使用私有 CA 及其证书。我无法发现如何将私有 CA 根证书及其中间证书添加到 Java 受信任证书中。我已经找到并阅读了多篇关于如何做到这一点的文章，但我的努力无法完成我所需要的。

我正在使用 OpenJDK11。java cacerts fie 位于/usr/local/openjdk11/lib/security/cacerts. 我相信这包含 Java 使用的可信证书列表。

我已手动将私有 CA 根证书和中间证书添加到此存储：

据我所知，CA_HLL_ISSUER_2016 和 CA_HLL_ROOT_2016 颁发的证书现在应该被此主机上的 java 识别为信任。但是，他们不是。我需要找出原因。

但我没有问题openssl s_client：

. . .

我在这里想念什么？如何将私有 CA 添加到 Java 信任库？

按照答案中给出的建议，我按照给定的顺序完全做到了这一点：

我在 OpenJDK 中遇到错误？

我想从 Vault 中检索凭据。

在这种情况下，我发现了这一点。https://bettercloud.github.io/vault-java-driver/。

但是要连接到 Vault，而不是令牌，我有 CA 证书。

我在上面的链接中找到了一些示例，但我没有找到使用证书的示例。

我之前在代码中没有使用任何 CA 证书。

关于如何使用证书，有人可以在这里帮忙吗？谢谢。

我正在使用由域托管的 wordpress 网站（不在我的本地环境中工作）我收到错误消息：“致命错误：[snuffleupagus][disabled_function] 在调用函数'curl_setopt'时中止执行，因为它的参数' $option' 内容 (81) 匹配基于 cURL.php 文件的函数中的规则“请不要关闭 CURLOPT_SSL_VERIFYHOST。”。我下载了 Cacert.pem 文件，但我不知道我应该把它放在哪里，或者我应该在我的 cURL.php 中更改一些内容