例如,根据TLS连接定义,作为客户端,我使用keystore存储我的私钥和证书,使用truststore存储某些类型的证书。在服务器端,我们叫它Youtube,它有一个根证书叫Youtube。由Google签名的pem文件。crt CA .
我知道信任库是在握手期间验证第三方证书的
我的问题是我的信任存储在握手期间应该实际存储什么?
- Youtube。pem(从第三方发送的CA签名证书)
- 谷歌。(CA证书)
例如,根据TLS连接定义,作为客户端,我使用keystore存储我的私钥和证书,使用truststore存储某些类型的证书。
可以,但是只有在希望使用客户端身份验证时才需要密钥存储库。请注意"keystore"one_answers";truststore"说明如何使用存储,它们可以是相同的类型(例如pkcs# 12),甚至是相同的文件。
在服务器端,叫做Youtube,它有一个根证书叫做Youtube。由Google签名的pem文件。crt CA .
不,YouTube是一个服务,它有一个叶子或终端实体证书. 根证书是第三方CA的证书,最终实体证书通常由中间CA证书签名,中间CA证书再由自签名根证书签名。
我知道信任库是在握手期间验证第三方证书的
用于验证和验证信任路径从叶子证书到信任存储库中的信任锚。信任锚是通常是存储在信任存储库中的根证书之一。叶子证书由终端实体/服务器指示,中间证书通常也由服务器发送,但它们也可以从缓存中检索。
在YouTube的情况下,使用Google根CA,如果Google根不存在于信任存储中,则可能通过链接证书使用GlobalSign根。
因此,您的信任存储库应该包含Google根证书或GlobalSign根证书,以便在本例中运行连接。