更新 - 在Java信任庫中續訂自簽名CA證書
[英]Updating-Renewing self-signed CA certificate in java truststore
問題描述
我已經構建了一個Java應用程序,它將Web服務公開給外部授權客戶端。 Web服務使用WS-security和證書身份驗證。 基本上我們充當自定義證書頒發機構 - 我們在服務器上維護一個java信任庫,並為其簽名並添加客戶端證書。 目前,我們有手動注冊流程,要求WS客戶端上傳其證書簽名請求。 我們簽署CSR,使用命令行中的keytool將證書添加到我們的java信任庫,並將簽名證書和我們的CA證書一起返回給客戶端。 反過來,客戶端使用其私鑰來簽署其soap消息有效負載並在消息中嵌入已簽名的證書。 服務器端對數字簽名進行解密,並在滿足客戶端請求之前驗證嵌入式證書是否已簽名,並且一個證書與我們的信任庫匹配。
雖然很少痛苦(因為手工勞動)這個設置工作正常。 現在我意識到我們的根CA證書即將到期,因此我正在尋求設置維護策略。 我該如何更新自簽名的根CA證書? 看起來我將不得不創建新的和替換原始。 這將影響所有必須接收新證書並導入新CA證書的客戶。 這是正確的理解還是有更好的方法來處理這種情況?
如果重要,我使用openssl生成原始密鑰對。
openssl req -x509 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem -config openssl.cnf
1 個解決方案
解決方案1
2 已采納 2012-11-07 08:04:50
在根CA上保留相同的私鑰允許所有證書繼續針對新根成功驗證; 所有你需要的是信任新的根。
如何將自簽名證書添加到 Java 信任庫?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.