我正在从客户处导入证书和密钥,并为tomcat创建PKCS12证书。配置tomcat使用该证书作为keystore。我还需要从客户处导入CA证书吗?如果是,为什么?
如果颁发您的证书的CA证书是一个"根" CA证书(即它是自签名的),这无关紧要:如果验证该证书的一方尚未在其信任锚中拥有该证书,则没有任何东西可以使其信任它。
当CA证书是中间CA证书时,它通常更有用。在这种情况下,服务器提供完整的证书链是相关的(根CA除外,由于上述原因,根CA是可选的)。由于远程方可能没有这些中间CA证书作为已知的信任锚点,但可能信任颁发该中间CA证书的CA证书,这使得它们更有可能构建从其信任锚点到要验证的证书的信任链。
严格地说,您不需要来提供完整的链,但是这样做会使您的证书更有可能被接受。
这个问题或多或少与这个问题相同。此外,您正在讨论pkcs# 12存储,因此您通常会根据正确的"别名"(使用Java术语)导入CA文件。也就是说,私钥通常应该保持私密性。如果您试图实现自己的CA,有一些机制可以在浏览器中完成此操作,而无需将私钥发送到任何地方,这将使用户获得pkcs# 12文件作为回报(如果他们选择从那里导出他们的证书+密钥)。