Bevor ich auf die Hauptfrage gehen, ich will mein Verständnis auf Schlüsselspeicher und Truststores angeben:TLS-Authentifizierung zwischen Servern und deren Schlüsselspeicher Trustores
1) Schlüsselspeicher - Informationen über Schlüssel (Private Key) verwendet, das ich mache meine Authentifizierung als Server
2) Truststore - Die Liste der root/interm CAs und anderer signierter Zertifikate aus verschiedenen Domänen denen ich vertraue.
Ich versuche, eine Inter-Server-Authentifizierung und Datenaustauschmechanismus einzurichten. Alle meine Server haben das FQDN-Format als myserverX.mydomain.net
, wobei X der Index z. myserver1.mydomain.net
. Wenn mein Verständnis von Keystore und Truststore korrekt ist, wenn myserver1
Daten von myserver2
anfordert, ist es myserver1
Wer ist Client und myserver2
ist Server.
Auf diese Weise:
1) myserver1
myserver2
so myserver2
Public-Key-Zertifikat vertrauen muss sollte in `MYSERVER1' in die Trusts importiert werden.
2) Das obige gilt auch, wenn 'myserver1' Server ist und myserver2
Client ist - außer jetzt myserver1
öffentlichen Schlüsselzertifikat sollte in myserver2
Truststore importiert werden.
Erhalte ich tatsächlich Dinge hier? Oder gibt es einen fundamentalen Fehler, den ich mache? Meine Absicht war, es mit einem selbstsignierten Zertifikat auszuprobieren und dann ein korrektes Zertifikat mit Root-CA für meine Server zu erhalten. Aber ich wäre dankbar, wenn mir jemand erklären könnte, ob ich hier falsche Annahmen mache.
Hinweis - ich werde Java keytool und JKS-Typ-Schlüsselspeicher (mit Standard-symmetrischen Schlüsseln algo und Größe) verwenden, und ich werde entweder -certreq and -gencert
oder -selfcert
verwenden, um ein selbst signiertes Zertifikat für meinen Test zu generieren.
"Import Schritt ist nicht erforderlich" - Sie wollen sagen, "CA-Zertifikat" Import ist nicht erforderlich, aber ich muss immer noch meine selbstsignierten Zertifikate importieren, richtig? – ha9u63ar
Ich meinte was ich gesagt habe. Es scheint vollkommen klar zu sein. Deine Frage ergibt keinen Sinn. Wenn Sie CA-signierte Zertifikate verwenden, verwenden Sie keine selbstsignierten Zertifikate. – EJP
Ich denke, was ich zu kämpfen hatte, ist, was Zertifikat der Server sendet, wenn der Handshake für TLS passiert - und dies wäre meine Schlüsselspeicherort. Wenn dies von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde, wird der Browser einfach normal weiterarbeiten, ansonsten benachrichtigen Sie, dass die Site nicht vertrauenswürdig ist. – ha9u63ar