Java Tomcat服务器信任存储根证书

我需要信任tomcat上的客户端证书，我已经将root（verisign）和customers域证书添加到服务器信任库中，它工作正常并接受客户端连接

现在的问题是，将根verisign证书添加到信任库是否接受由该verisign证书签名的任何内容？或者只有我把它加入到cacerts中，情况才会如此？把它放在托管店安全吗

我在linux上使用Tomcat6和Java1.6

谢谢

将根verisign证书添加到信任库是否接受由该verisign证书签名的任何内容

是的。应用程序仍然需要根据分配给证书标识的用户的角色执行授权步骤。您不应该试图单独使用信任库和证书来实现这一点，这不是该机制的目的。它用于身份验证。你说的是授权

注意，您使用的是本地信任库，而不是JRE的cacerts文件

将根verisign证书添加到信任库是否接受由该verisign证书签名的任何内容

是的。应用程序仍然需要根据分配给证书标识的用户的角色执行授权步骤。您不应该试图单独使用信任库和证书来实现这一点，这不是该机制的目的。它用于身份验证。你说的是授权

---

注意：您使用的是本地信任库而不是JRE的cacerts文件。

这很好，谢谢EJP，我们在应用程序中有进一步的身份验证，但我想最好不要在信任库中使用CA？我认为您需要有完整的信任链，它从CA开始。通常的设置是：外部CA-本地CA-服务器-客户端。如果您只需要一台服务器，并且如果您不需要客户端证书（例如，用于使用证书验证用户），则可以跳过本地CA。@kontiki您必须在信任库中拥有您需要的任何东西才能接受客户端证书。作为SSL握手的一部分，服务器发送其信任的根CA列表（来自信任库），客户端向上发送其证书链，包括它可以看到服务器已经信任的第一个根CA，但不再进一步。这非常感谢EJP，我们在应用程序中有进一步的身份验证，但我想最好不要在信任库中有CA？我认为您需要有完整的信任链，它从CA开始。通常的设置是：外部CA-本地CA-服务器-客户端。如果您只需要一台服务器，并且如果您不需要客户端证书（例如，用于使用证书验证用户），则可以跳过本地CA。@kontiki您必须在信任库中拥有您需要的任何东西才能接受客户端证书。作为SSL握手的一部分，服务器发送其信任的根CA列表（来自truststore），客户端向上发送其证书链，包括它可以看到服务器已经信任的第一个根，但是没有更多。Scott Oaks的Java Security告诉我，我必须在信任库中拥有CA的根证书，所以我会将其保留在中。Scott Oaks的Java Security告诉我，我必须在信任库中拥有CA的根证书，所以我会将其保留在中。