- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
我正在运行在 JVM 参数中配置的 Java 进程(微服务)和 trustStore。如果微服务需要连接需要在 trustStore 中导入证书的外部 URL。
Example:
example.co.uk -> examplecouk as alias in trustStore
example.com -> examplecom as alias in trustStore
example.in -> examplein as alias in trustStore
最佳答案
user207421 几乎是正确的。更准确地说:
当您作为客户端打开与服务器的 SSL/TLS 连接时,作为握手的一部分,服务器会发送包含其自己的证书的证书“链”,通常加上一个或多个以“根”结尾的链接 CA(证书颁发机构)证书应该信任的 CA。查看相邻堆栈 https://security.stackexchange.com/questions/20803/how-does-ssl-work/以获得极其完整的解释。公共(public)服务器通常使用由公共(public) CA 颁发和签名的证书,例如 Digicert、GoDaddy、LetsEncrypt/ISRG,它们已经在标准默认信任库中(对于文件 JRE/lib/security/cacerts
中的 Java),因此无需执行任何操作。如果服务器使用来自非品牌或私有(private) CA 的证书,或自签名证书(根本没有 CA),那么(对于 Java)必须将链中的某些证书添加到客户端信任库,或者以其他方式覆盖;这仅在服务器证书是自签名的情况下才需要是服务器证书(它本身是一个链并且没有相关的 CA 证书)。
Java/JSSE 通过 SSLContext
实现这一点。其中包含一个 TrustManager
,更具体地说是 X509ExtendedTrustManager
,它是从信任库初始化的。您可以创建 SSLContext
在来自任何可信证书集的代码中显式地显示(甚至不需要来自文件),或者使用使用默认信任库文件的默认上下文,除非被系统属性覆盖,否则默认为上面的文件名。
当接收到服务器证书链时,它被传递给上下文的 TrustManager 进行验证;在(许多!)其他检查中,在普通链的每个级别或自签名证书的单个级别,JSSE TrustManager 查找具有相同主题和(主题)公共(public) key 的 anchor 证书,如果是,则使用它来验证证书链。请注意,如果改用主题备用名称,则普通(CA 颁发)叶证书可以使主题为空——请参阅 rfc5280 和 rfc2818——但自签名证书不能,因为它的主题 = 颁发者且颁发者不得为空.不同实体(例如不同服务器)的证书通常具有不同的 key ,尽管单个实体可以拥有多个具有相同 key 或不同 key 的证书,并且可能对应于多个服务器名称和/或地址。
如果证书通常被确定为有效,对于某些 TLS 应用程序,特别是 HTTPS, validator 还会检查它是否适用于正确的服务器,特别是主题字段中的 CommonName 属性,或者主题备用名称扩展中的条目(如果存在) - - 对于至少十年的公共(public) CA,它与 URL 中的主机 DNS 名称或 IP 地址相匹配。在较早版本的 Java(通过 6 IIRC)中,这不是在 JSSE 中完成,而是在调用应用程序或库中完成,例如 HttpsURLConnection
,作为遗留系统,它仍然可以选择使用自己的 HostnameVerifier
反而。
所有这些都可以通过使用自定义 TrustManager
来更改。代替标准的,以及一些像 Apache HttpClient
这样的东西这样做是有效的,但您会在此处找到(太多)答案以及其他一些建议您使用绝育 TrustManager
来“解决”TLS 错误的堆栈。它只接受任何证书,无论它是否实际上是有效和正确的,因此很乐意将敏感数据连接并发送给任何设法拦截 IP 流量的攻击者,或者接受来自任何攻击者的更改,这在如今通常很容易。
关于java - 如何在 TrustStore 中处理别名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58232636/
上下文:我已经在域根上设置了一个用于 GIS 测试和 dokuwiki 的虚拟机服务器。我想在子域上提供 gis Web 应用程序,这样 dokuwiki url 重命名就不会发生冲突(而且感觉更干净
这个问题在这里已经有了答案: If two variables point to the same object, why doesn't reassigning one variable affe
代码如下: Select Branch.BranchName, Sum(Inventory.OnHand) From Inventory, Branch Inventory.BranchNum = B
我的目标是创建一种“Javascript 库”,如果您可以这样调用它的话。我打算在浏览网页时使用它来操作页面,将其作为 greasemonkey 脚本动态加载。这个想法是将“win”映射到window
是否可以在 javascript 中以某种方式为本地变量分配别名/引用? 我的意思是类似 C 的东西: function foo() { var x = 1; var y = &x; y+
SQLite 别名 您可以暂时把表或列重命名为另一个名字,这被称为别名。使用表别名是指在一个特定的 SQLite 语句中重命名表。重命名是临时的改变,在数据库中实际的表的名称不会改变。 列别名用来
我有以下导入(在同一个 TS 源文件中): import {Vector as sourceVector} from "ol/source"; import {Vector} from "ol/lay
我想弄清楚 this 到底是什么行是在这个 github json 项目的 cmake 文件中, add_library(${NLOHMANN_JSON_TARGET_NAME} INTERFACE)
使用集合时如何创建别名 (AS)。 $collection->addAttributeToSelect('total_qty') 可以这样做: $collection->getSelect()->co
这个问题在这里已经有了答案: Pass an argument to a Git alias command (4 个回答) 去年关闭。 我的团队在不同的分支上工作,通常,我需要快速从分支切换来帮助他
我正在寻找一种向我的 vimrc 添加自定义命令或别名的方法,以便快速切换到 Vim 中的不同目录。我曾经设置过一些东西,但丢失了那个配置。这是用于 Linux 设置。 基本上,我想设置一个别名(如果
我使用 Delphi 和 Firebird 1.5 开发了一个应用程序,其中服务器与应用程序位于同一台计算机上。我现在正在将应用程序部署到另一个站点,其中 Firebird 服务器( super 服务
我创建了一个全新的 React 应用 create-react-app demo 我需要为某些目录/组件创建别名,例如: import { Header } from '@uicomponents'
我正在尝试打印有向图,并且不断更改各种节点属性,例如颜色和形状。有什么方法可以使用一次定义并用于多个节点的变量?理想情况下,我想要这样的东西: digraph g { building_color =
server { listen 80; server_name pwta; root html; location /test/{ alia
我想匹配多个数组,并在匹配时构建另一个数组。该键可以在任意数量的数组中匹配,也可以根本不匹配。 [ [{ 'a': 13 }, { 'b': 62 }, { 'c': 93 }, { 'd': 52
经过审查后,我需要更改一些代码并将所有更改代码重新推送到远程分支上。 所以我想使用别名(例如:git repushall)在 git 上自动化这些不同的命令: git add . git commit
我有一个这样的查询: select a1.name, b1.info from (select name, id, status from table1 a) as a1 righ
我想给一些 racket 2htdp 函数/宏起别名,这样我就可以为我的 child 将它们翻译成另一种语言。 我可以简单地用define给函数起别名。我在使用 big-bang 结构时遇到了麻烦;例
经过审查后,我需要更改一些代码并将所有更改代码重新推送到远程分支上。 所以我想使用别名(例如:git repushall)在 git 上自动化这些不同的命令: git add . git commit
我是一名优秀的程序员,十分优秀!