使用 Java 标准密钥库是一种不好的做法吗

Question

我们一直使用 java 标准密钥库 ($JAVA_HOME/jre/lib/security/cacerts) 作为 tomcat 的可信存储。该 tomcat 服务器将与其他服务器通信。最近的 OS(AIX) 升级显然覆盖了 $JAVA_HOME/jre/lib/security/cacerts 处的文件，导致证书丢失以及 tomcat 中托管的应用程序出现很多问题。

看看这个，中继 $JAVA_HOME/jre/lib/security/cacerts 是一个不好的做法吗？ 解决这种情况的替代（更好|标准）方法是什么？

Answer 1

如果您有一个会重复导入的构建过程，那么这不是一个坏习惯。

Answer 2

不确定，但假设您的假设是正确的，请小心放置密钥库的位置。我强烈建议将它放在 Apache 文件夹中。

默认情况下，在 Websphere 中密钥库以这种方式工作，因为它带来了自己的 JVM :)

Answer 3

就 cacerts 文件中的内容而言，这并不一定比依赖操作系统或浏览器中安装的默认 CA 证书更糟糕，但这并不意味着它很好。

Sun/Oracle 在 关于此的 JSSE 参考指南：

重要提示：JDK 附带了有限数量的受信任根
/lib/security/cacerts 文件中的证书。作为
记录在 keytool 中，您有责任维护（即
添加/删除）此文件中包含的证书（如果您使用此文件）
文件作为信任库。

根据您联系的服务器的证书配置，
您可能需要添加额外的根证书。获取需要的
来自适当供应商的特定根证书。

在配置方面，对于必须安装“本地”CA 证书的特定应用程序，我发现使用本地信任存储更稳定（例如，使用 javax.net.ssl.trustStore 指定）代码>）。

Answer 4

AIX 升级是一个补丁。任何补丁都不得删除/覆盖用户数据。我建议受此类数据丢失影响的用户要求 IBM 修复补丁程序。相比之下，httpd 服务器的补丁不会覆盖/删除配置，即使它位于程序目录中。

Answer 5

是的，这样做是一种不好的做法。

最佳实践是根据需要限制您的受信任证书。
因此，您应该仅使用自己的密钥库以及应用程序信任的证书。