假设我想使用带有以下证书的 ssl 服务器运行
证书,
子证书,
服务器证书
为此,如果我使用 openssl s_server 通过提供 Cert-( server-cert) CAcert-(sub-cacert,cacert) 选项来启动 ssl 服务器,以便在客户端时显示整个链连接
我的问题是
将 sub-cacert,cacert 自动视为我的服务器受信任...??
我的意思是,如果客户端发送像 (client-cert,sub-cacert,cacert) 这样的链,客户端的证书验证结果会成功吗??
如果是这样,我怎样才能避免这种情况……??我想像在 java 中一样使用 openssl 维护单独的 trustore
(根据我对 java 的理解,客户端收到驻留在 keystore 中的证书链,但服务器在验证期间不使用这些证书,仅使用信任库进行验证)
我的假设有什么错误吗..???
提前致谢:-))
最佳答案
这实际上取决于您用于 SSL 的应用程序(Tomcat、WebLogic、Custom 等)。
但通常,如果您向客户端提供服务器证书和完整的证书链,并且客户端信任该链中的根证书,那么客户端将信任服务器证书。
这同样适用于其他方式(客户端到服务器)。
关于java - 如何为使用 openssl 启动的 ssl 服务器单独维护 trutstore ..?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18702807/