certificate - keystore 中的条目类型 "keyEntry"和 "trustedCertEntry"之间的区别

Question

我在这方面知识不多，但是我仍然尝试通过谷歌搜索来做事情。这是我面临的问题。

案例1(作品):

我有一个CA签名的证书，我想在我的Web应用程序中使用它。我首先创建了一个 keystore 。我看到它在 keystore 中创建了一个条目类型“keyEntry”。然后，我将CA签名的证书导入到创建的 keystore 中。

步骤如下:

keytool -genkeypair  -keystore keystore.jks

我在别名为“mykey”的“keyEntry”类型的 keystore 中看到一个条目

现在，我导入证书:

keytool -importcert -alias abc -file cert.crt -keystore keystore.jks

现在，我看到了trype的另一个条目“trustedcertEntry”。

使用此 keystore ，我可以在上载我的Web应用程序时对其进行访问。

情况2(无效):

导入证书时，我会动态创建一个 keystore 。

keytool -importcert  -alias abc -file cert.crt -keystore keystore2.jks

在这里，我仅看到一种条目类型，即“trustedcertEntry”

使用此 keystore ，我无法访问我的Web应用程序。

问题:

什么是 key 输入类型“keyEntry”和“trustedcertEntry”？为什么我的 keystore 仅在输入类型为“keyEntry”时才起作用

Answer 1

我对keytool的理解充其量是微不足道的，但我认为诀窍是在案例2中，通过省略-genkeypair，您不会生成必要的私钥。

在案例1中，您使用的步骤是:创建一个私钥对(公钥和私钥)，然后将证书导入到 keystore 的受信任证书中。可能您在 keystore 中还有另一个与私钥结合的证书，尽管受信任的证书有可能充当该证书，或者您的应用程序未在同一文件中使用结合的 key 对/证书。

我可以说'trustedCertEntry '是 keystore 信任的证书。这对于允许证书链是必不可少的(例如:Root-CA签署了Intermediate-CA1，后者签署了End-Cert1。如果同时没有将Root-CA和Intermediate-CA1都作为TrustedCertEntry，则 keystore 将不信任最终证书)。 TrustedCertEntry没有与其关联的私钥，只有证书包含的公钥。

keyEntry (我认为!)是没有证书的公钥/私钥对。

privateKeyEntry 是具有关联的CA签名或自签名证书的公用/专用 key 对。