ssl - 使用 keytool 导入证书时，为什么要使用 trustcacerts 选项

Question

keytool -import -trustcacerts

我对 keytool 的这个 trustcacerts 选项感到困惑。

当我用谷歌搜索时，我发现了以下几点:

• 根据具体情况，您可能不需要 -trustcacerts 选项。如果愿意，请尝试不使用它的操作。

• -trustcacerts 参数告诉 keytool 您想要将其导入为受信任的证书。

• 使用 cacerts 文件从已签署正在导入的证书的证书颁发机构获取受信任的证书。

最后我发现这个trustcacerts是可选的。

通常网站的任何开发人员/CEO 都希望他们的网站受到客户的信任，那么为什么我们需要使用 keytool 命令明确指定这一点？

谢谢

Answer 1

当您导入自签名根证书以外的证书(例如中间证书)时，keytool 会首先尝试构建和验证正确的证书路径。

如果您使用 trustcacerts 参数，那么为了构建路径，keytool 不仅会考虑信任库中已经包含的证书，还会额外考虑cacerts keystore 中包含的证书(此文件位于 JRE 安装的 lib/security 文件夹中)。 cacerts 中的证书是一种默认信任列表，官方信任的根证书(类似于您的浏览器默认信任的列表)。

该选项并不是必需的，因为您始终可以强制导入证书。导入自签名根证书时也没有意义，因为在这种情况下无法构建证书路径 - 您要么信任根，要么不信任。

但如果您知道导入的证书应该由 cacerts 中包含的证书之一颁发，这可能是一个不错的功能 - keytool 会在它仍然无法构建和验证整个证书时警告您证书路径 - 这很可能是一个警告，表明您尝试导入的证书有问题。