TLS-Authentifizierung zwischen Servern und deren Schlüsselspeicher Trustores

Question

Bevor ich auf die Hauptfrage gehen, ich will mein Verständnis auf Schlüsselspeicher und Truststores angeben:

1) Schlüsselspeicher - Informationen über Schlüssel (Private Key) verwendet, das ich mache meine Authentifizierung als Server

2) Truststore - Die Liste der root/interm CAs und anderer signierter Zertifikate aus verschiedenen Domänen denen ich vertraue.

Ich versuche, eine Inter-Server-Authentifizierung und Datenaustauschmechanismus einzurichten. Alle meine Server haben das FQDN-Format als myserverX.mydomain.net, wobei X der Index z. myserver1.mydomain.net. Wenn mein Verständnis von Keystore und Truststore korrekt ist, wenn myserver1 Daten von myserver2 anfordert, ist es myserver1 Wer ist Client und myserver2 ist Server.

Auf diese Weise:

1) myserver1myserver2 so myserver2 Public-Key-Zertifikat vertrauen muss sollte in `MYSERVER1' in die Trusts importiert werden.

2) Das obige gilt auch, wenn 'myserver1' Server ist und myserver2 Client ist - außer jetzt myserver1 öffentlichen Schlüsselzertifikat sollte in myserver2 Truststore importiert werden.

Erhalte ich tatsächlich Dinge hier? Oder gibt es einen fundamentalen Fehler, den ich mache? Meine Absicht war, es mit einem selbstsignierten Zertifikat auszuprobieren und dann ein korrektes Zertifikat mit Root-CA für meine Server zu erhalten. Aber ich wäre dankbar, wenn mir jemand erklären könnte, ob ich hier falsche Annahmen mache.

Hinweis - ich werde Java keytool und JKS-Typ-Schlüsselspeicher (mit Standard-symmetrischen Schlüsseln algo und Größe) verwenden, und ich werde entweder -certreq and -gencert oder -selfcert verwenden, um ein selbst signiertes Zertifikat für meinen Test zu generieren.

Answer 1

Sie haben es richtig, aber wenn Sie CA-signierte Zertifikate verwenden, wird der Importschritt nicht benötigt. CAs sind per Definition bereits vertrauenswürdig, und daher sind es auch die Zertifikate, die sie signieren. Dein Test ist also sinnlos.