基于Java证书的身份验证

Question

我有一个 Thrift 端点，是由不再在我们公司工作的人创建的。他们通过客户端证书实现了身份验证，但我很难理解它是如何工作的。有谁知道有关此主题的教程或方法。

我真正拥有的只是一个示例客户类。以下是我需要帮助的事项列表：

1. 服务器证书和客户端证书是否可以包含在同一个信任存储中
2. 如何创建新的客户端证书？
3. 如何将该客户端证书添加到服务器信任存储区？
4. 是否需要设置客户端信任存储，并设置java信任（假设服务器是自签名端点）

5. 以下错误是什么意思？

   错误[com.cada.CadaDaoTest][main] - 错误： org.apache.thrift.transport.TTransportException: javax.net.ssl.SSLHandshakeException: 收到致命警报: bad_certificate

Answer 1

信任库（在 Tomcat 上，它是在 server.xml 中为 SSL 连接器配置的）可以保存客户端证书的证书链的根，而不是证书本身。也就是说，当创建证书时，它由 CA（证书颁发机构）签名。如果 CA 证书可信，则该 CA 签署的所有证书也都可信。

您可以使用 keytool（在 jdk/bin/ 中）或 openssl 创建证书。有一些 GUI 可以实现此目的，例如 portecle。

tomcat ssl 教程可能会有所帮助。