ssl - SSL TrustStore 没有 CA，只有客户端证书

问题描述

我有一个自定义 CAroot.crt（由我生成），我所有的客户证书都用这个 CAroot.crt 签名。我有一个 TrustStore.jks，我只放了客户端证书而不放 CAroot.crt，因为我希望可以随时从我的信任库中删除客户端。

当我尝试启动我的应用程序时，我得到了以下信息：

*** Certificate chain
<Empty>
***
main, fatal error: 42: null cert chain

这是我的 trustStore.jks：

Keystore type: jks
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: localhost
Creation date: Nov 23, 2019
Entry type: trustedCertEntry

Owner: CN=localhost, OU=IT, O=QUEROBUY, L=SAO CAETANO DO SUL, ST=SAO PAULO, C=BR
Issuer: CN=localhost, OU=IT, O=LANHELLAS XYZ, L=SAO CAETANO DO SUL, ST=SAO PAULO, C=BR
Serial number: 5416c04e360f9d50323c52d8a5b04be2969c9b86
Valid from: Sat Nov 23 16:39:54 BRT 2019 until: Tue Apr 06 16:39:54 BRT 2021
Certificate fingerprints:
     MD5:  8F:29:1C:1F:05:89:0B:E6:A0:57:84:FE:B0:78:68:2D
     SHA1: 95:C8:EA:0E:C8:7C:4E:99:E4:73:85:49:57:D6:BB:88:AF:52:52:12
     SHA256: 7E:ED:19:AF:02:DB:CC:88:98:D0:10:4E:39:67:AA:4D:3F:70:DA:76:03:1B:CB:41:06:DC:3B:51:38:16:78:5F
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 1


*******************************************
*******************************************

如果我将“CARoot.crt”添加到我的 trustStore.jks 一切正常，但我失去了使某些特定客户端证书无效的机会。想象一下，我有 10 个客户端，每个客户端都有您自己的证书 (.crt)，由“CARoot.crt”分配，但由于某种原因，客户端 001 应该立即失效，我只会从服务器中的 trustStore.jks 中删除您的公钥，而不我应该等待证书到期日期。

标签： sslopensslssl-certificatex509certificate2