更新 - 在Java信任库中续订自签名CA证书
[英]Updating-Renewing self-signed CA certificate in java truststore
问题描述
我已经构建了一个Java应用程序,它将Web服务公开给外部授权客户端。 Web服务使用WS-security和证书身份验证。 基本上我们充当自定义证书颁发机构 - 我们在服务器上维护一个java信任库,并为其签名并添加客户端证书。 目前,我们有手动注册流程,要求WS客户端上传其证书签名请求。 我们签署CSR,使用命令行中的keytool将证书添加到我们的java信任库,并将签名证书和我们的CA证书一起返回给客户端。 反过来,客户端使用其私钥来签署其soap消息有效负载并在消息中嵌入已签名的证书。 服务器端对数字签名进行解密,并在满足客户端请求之前验证嵌入式证书是否已签名,并且一个证书与我们的信任库匹配。
虽然很少痛苦(因为手工劳动)这个设置工作正常。 现在我意识到我们的根CA证书即将到期,因此我正在寻求设置维护策略。 我该如何更新自签名的根CA证书? 看起来我将不得不创建新的和替换原始。 这将影响所有必须接收新证书并导入新CA证书的客户。 这是正确的理解还是有更好的方法来处理这种情况?
如果重要,我使用openssl生成原始密钥对。
openssl req -x509 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem -config openssl.cnf
1 个解决方案
解决方案1
2 已采纳 2012-11-07 08:04:50
在根CA上保留相同的私钥允许所有证书继续针对新根成功验证; 所有你需要的是信任新的根。
如何将自签名证书添加到 Java 信任库?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.