问题标签 [truststore]

我正在尝试使用客户端密钥进行客户端身份验证来制作网络应用程序。我想我已经弄清楚了整个信任库问题，所以我可以让客户端真正获得身份验证。但是我不想要求客户端身份验证。我只想对其进行测试并启用功能（如果已启用）。

我可以使用 .wantClientAuth 来请求它，但如果它不存在则允许连接。但我找不到任何属性来确定请求是否已通过身份验证。

这应该存在，否则wantClientAuth的目的是什么。我该如何使用它？

我已经意识到有很多不同的方法可以为 Tomcat 设置信任库。我发现的三种方法是：

• server.xml 中的 truststoreFile
• catalina.sh 中的 JAVA_OPTS 变量
• 通过代码设置系统属性 (System.setProperty("javax.net.ssl.trustStore", path);)

哪个方法具有最高的先例（如果同时使用所有三个方法，它将覆盖其他两个）？据我了解，设置属性是默认方法，如果没有这样做，它会通过 server.xml 加载信任库路径。这个对吗？

我一直处于一种奇怪的情况，我被迫在我不管理的服务器上工作，我认为他们在某个地方对信任库（我不想使用）有全局引用，但是我想不出任何其他地方将定义信任库路径。我在服务器上使用 grep 尝试查找单词 trust 或 truststore 的实例，但没有返回任何感兴趣的内容。Unix 上是否还有其他地方可以初始化信任存储路径或信息？

任何帮助是极大的赞赏。谢谢！

我对cacerts和jssecacerts文件之间的差异感到非常困惑。

我知道默认情况下java会先查找jssecacerts文件，然后再查找cacerts文件。

但是jssecacerts文件的意义何在？

我的理解是，如果需要使用新的信任库，cacerts则应制作一份副本，并将所有新的受信任 CA 添加到该副本中。然后系统属性cacerts应引用（带有新 CA）的副本。-Djavax.net.ssl.trustStore这样，在该机器上运行的其他 java 应用程序就不会意外地信任非默认 CA。

我正在尝试使用来自 maven (mvn tomcat:deploy) 的 tomcat 插件远程部署我的 web 应用程序。

Tomcat 应用服务器管理器位于https://MyRemoteTomcatInstance/manager。

首先，我使用以下命令将证书添加到我的信任库中：

KubePartnersLtd.p12 文件是使用浏览器导出站点证书的结果（我使用的是 FF 3.6）。

其次，我添加了

.mavenrc

文件，这对我来说是痛苦的！我不确定我应该在里面放什么。此刻我填写了：

这给了我一个错误：

不存在主题替代名称

我使用蛮力模式尝试了许多其他组合，但我无法成功。如果有人能指出正确的方向，我将非常感激

MAVEN_OPTS

谢谢和问候， C

我的应用程序使用部署在Weblogic 10.3上的 Apache 的 HttpClient 3.1来执行使用SSL相互身份验证的POST 。我可以使用以下系统属性来配置密钥库和信任库：-

有什么方法可以让HttpClient识别和使用Weblogic自定义密钥库和信任库设置（在控制台/config.xml 中配置）。除其他外，这将提供使密码“隐藏”并且在配置文件/控制台等中以纯文本形式不可见的能力。

任何人都可以启发我吗？

谁能告诉我证书信任链是如何用这些结构形成的，这两个结构代表什么？

谁能告诉我如何使用openssl根据“/home/user/Certificate/”文件夹中可用的CA证书（包括中间证书）验证P7b容器（具有三个不同的文件）。

我有 5 个不同的根证书，每个证书都有 3 个中间证书。

使用证书文件时出现以下错误，我已经生成了相同的信任库并将其传递给XmlRpcCommonsTransportFactory

org.apache.xmlrpc.XmlRpcException：与 HTTP 服务器通信时出现 I/O 错误：sun.security.validator.ValidatorException：PKIX 路径构建失败：sun.security.provider.certpath.SunCertPathBuilderException：无法找到请求目标的有效证书路径

我正在尝试使用 Spring Security 针对 Active Directory 对用户进行身份验证。到目前为止，我使用的是 LDAP 协议，但现在我想使用 LDAPS。

我关注了这篇文章http://blogs.oracle.com/gc/entry/unable_to_find_valid_certification并且它有效。我能够使用 LDAPS 成功地将用户绑定到 AD。

但过了一段时间（15 - 30 分钟），当我尝试登录时，我再次收到此异常：

然后我不再能够使用 LDAPS。我尝试过了：

• 重启tomcat
• 将证书直接添加到 cacerts
• 使用 env 属性 -Djavax.net.ssl.trustStore 启动带有 trustStore 路径的 tomcat

唯一可行的方法是完全重新创建 jssecacerts。仅仅将现有的 jssecacerts 复制到 jre/lib/security 是不够的，它必须是新文件。我只是不明白...

我的环境是：java 1.6.0_26，tomcat 7.0.20，spring 3.0.5，spring security 3.1RC2

难道我做错了什么？

谢谢

我是 SSL/HTTPS 的初学者。希望这不是一个愚蠢的问题。

我正在编写一个在 JBOSS 4.3 上运行的 Web 服务客户端，它通过 https 与外部 Web 服务通信。我已经使用 JDK 1.6 附带的 wsimport 工具 (JAX-WS) 生成了客户端。我成功地能够与 Web 服务进行通信，但我不断在日志中收到此警告消息：

WARN [HTTPClientInvoker] 无法为客户端调用者创建 SSL 套接字工厂：初始化套接字工厂 SSL 上下文时出错：找不到信任库 URL。

据我了解，只要JDK能够识别服务提供者使用的证书（CA），通过https进行通信应该没有问题。我看到服务提供商正在使用 Equifax Secure。我检查了我的 jdk，发现它已经默认存在了。我也可以与服务提供商沟通，但我不知道为什么会收到警告消息。我在其他地方读到，我可以通过设置来解决这个问题：

我的 jboss run.conf 中的 javax.net.ssl.keyStore 和 javax.net.ssl.trustStore

当我的 jdk 已经信任此证书时，我不确定为什么需要这样做。有人可以向我解释为什么我会收到此警告消息，即使我的通信正在进行。另外，有人可以向我解释什么时候应该设置上面的两个配置（javax.net.ssl.keyStore 和 javax.net.ssl.trustStore）？

谢谢。