我理解密钥库如何用于私钥。基本上,您创建密钥库,生成/签名/存储密钥,并根据别名,容器(JBoss,tomcat,WebLogic或WebSphere)将在初始化期间加载适当的密钥。 我的问题与信托商有关。如果容器向具有由Thawte签名的密钥的外部网站发出请求,容器如何知道从其信任库提供哪个公钥以允许ssl握手完成?信任库肯定有一个别名,但是当容器调用到远程站点的连接时,我真的怀疑它是否使用别名来查找匹配的公钥。
答案 0 :(得分:2)
它不必提供甚至找到匹配的公钥。公钥已经存在于对等方提供的证书中。它必须在信任库中找到与对等方提供的证书链中的证书匹配的证书:即,它必须找到其SubjectDN与传入的IssuerDN匹配的证书。当然别名不会进入,因为它们不会被传输,也不会成为SSL协议的一部分。