开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

证书的颁发者必须列在Java的“cacert”密钥库中才能被信任吗？

证书的颁发者必须列在Java的“cacert”密钥库中才能被信任。在Java中，证书的信任依赖于密钥库的配置。密钥库（cacert）是Java Runtime Environment（JRE）或Java Development Kit（JDK）中包含的一个文件，它包含了可信任的证书颁发机构（CA）的根证书。当使用Java应用程序进行网络通信时，Java会验证远程服务器的证书链是否可以追溯到cacert密钥库中的根证书。

如果证书的颁发者（即证书的签发机构）没有被列在cacert密钥库中，那么Java默认会认为该证书是不受信任的，并可能导致连接错误或警告。为了解决这个问题，可以通过以下几种方式之一来让Java信任该证书：

将证书的颁发者添加到cacert密钥库中：可以使用Java的“keytool”工具将证书的颁发者的根证书导入到cacert密钥库中。具体操作可以参考Oracle官方文档：https://docs.oracle.com/javase/8/docs/technotes/tools/unix/keytool.html
使用自定义的信任管理器：可以编写一个自定义的信任管理器来验证证书的合法性。在这种情况下，可以通过编程方式验证证书的颁发者而不依赖于cacert密钥库中的根证书。具体实现方式可以参考Java的TrustManager接口。

需要注意的是，修改cacert密钥库或使用自定义的信任管理器可能会导致安全风险，因为这可能允许信任不可靠的证书。因此，在进行任何修改之前，应该仔细评估安全风险并确保只信任可靠的证书颁发机构。

推荐腾讯云相关产品：腾讯云SSL证书服务，提供多种类型的SSL证书，可以保护网站和应用程序的数据传输安全。产品介绍链接：https://cloud.tencent.com/product/ssl-certificate

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

自签名SSL证书的创建与管理

创建自签名根根证书过程：生成CA私钥（.key）-->生成CA证书请求（.csr）-->自签名得到根证书（.crt）（CA给自已颁发的证书）

01

PKI - 借助Nginx 实现Https_使用CA签发证书

总之，使用 CA 签发证书可以确保通信的安全性、可靠性和完整性，为网络通信提供了重要的保护和信任基础。

00

etcd v2文档(5)--客户端https--安全

etcd通过客户端证书支持SSL/TLS以及身份验证，客户端到服务器以及对等（服务器到服务器/群集）通信。

01

Docker Data Center系列（五）- 使用自定义的TLS安全认证

commonName(CN)设置为UCP（DTR）所在主机名或FQDN。也可以设置为一个泛域名（*.yourcompany.com），其它都使用默认值。

07

详解 RSA 非对称加密

随着互联网越来越渗透入我们生活的方方面面，各种私密信息在网络中传播，为了保证信息的真实可靠，在我们对其安全性的要求也越来越高，对此，加密是一个永远不过时的话题。非对称加密，全站HTTPS等，深入了解，总会遇到RSA加密算法。在一些特殊行业，如博主工作的互联网金融，RSA加密算法的重要性更是非同一般。

02

再谈加密-RSA非对称加密的理解和使用

09

SSL：原理、应用、安全威胁与最佳实践

SSL（Secure Sockets Layer）是一种安全协议，用于在互联网上建立加密的链接，保护在网络上传输的数据的安全。SSL协议主要用于Web浏览器和服务器之间的通信，但也可以用于邮件服务器、消息传递和其他数据传输场景。

01

nginx配置https

1、生成RSA密钥的方法 openssl genrsa -des3 -out privkey.pem 2048 这个命令会生成一个2048位的密钥，同时有一个des3方法加密的密码，如果你不想要每次都输入密码，可以改成： openssl genrsa -out privkey.pem 2048 建议用2048位密钥，少于此可能会不安全或很快将不安全。 2、生成一个证书请求 openssl req -new -key privkey.pem -out cert.csr 这个命令将会生成一个证书请求，

06

非对称加密与OpenSSL

随着个人隐私越来越受重视, HTTPS也渐渐的流行起来, 甚至有许多网站都做到了全站HTTPS, 然而这种加密和信任机制也不断遭遇挑战,比如戴尔根证书携带私钥,Xboxlive证书私钥泻露, 还有前一段时间的沃通错误颁发Github根域名SSL证书事件. 因此本文从非对称加密说起, 介绍了证书的签证流程, 并且通过openssl的命令行工具对这些过程都转化为相对具体的命令, 也算是一个温故知新的简要记录吧.

04

用户身份验证的几种方式以及OpenStack认证方式的使用

笔者在加入VMware之前，做UNIX技术支持工作将近8年。由于UNIX服务器通常在数据中心内部，与外网隔离，因此用户身份认证通过比较简单。即密码验证。后来接触到VIEW产品，逐渐了解到多种的身份识别方式。加上前段时间研究了openStack，将学习的心得分享给大家。广义上讲，用户身份认证并不仅限于领域。广义上的身份识别技术有如下几种：静态密码、动态密码（短信密码、动态口令牌）、令牌、USB KEY、数字证书、生物识别技术。在以上几种认证方式中，我们IT人员在数据中心通常能够遇到的是：静态密码、动态口

05

OpenSSL 是什么？

对称加密算法在加密和解密时，使用同一密钥。非对称加密算法需要两个密钥，即公开密钥和私有密钥，公开密钥和私有密钥是一对。用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；用私有密钥对数据进行加密，只有用对应的公开密钥才能解密。因为加密和解密使用两个不同的密钥，所以这类算法叫非对称加密算法。

05

CA证书介绍与格式转换

PKCS 公钥加密标准（Public Key Cryptography Standards, PKCS），此一标准的设计与发布皆由RSA资讯安全公司（英语：RSA Security）所制定，PKCS 目前共发布过 15 个标准。更多公钥加密标准

02

FastGithub-github加速神器，解决github打不开、用户头像无法加载、releases无法上传下载、git-clone、git-pull、git-push失败等问题

git操作提示SSL certificate problem 需要关闭git的证书验证：git config --global http.sslverify false

01

OpenSSL - 利用OpenSSL自签证书和CA颁发证书

秘钥操作这个命令会生成一个1024/2048位的密钥，包含私钥和公钥。 openssl genrsa -out private.key 1024/2038 (with out password protected) openssl genrsa -des3 -out private.key 1024/2048 (password protected) 这个命令可以利用private.key文件生成公钥。 openssl rsa -in private.k

Web安全之BurpSuite抓取HTTPS请求

https://portswigger.net/burp/help/proxy_options_installingCAcert.html

05

Python Web学习笔记之SSL,TLS,HTTPS

一、 SSL 1. SSL简介 SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。 SSL协议提供的服务主要有：1）认证用户和服务器，确保

03

iOS使用自签名证书实现HTTPS请求

概述在16年的WWDC中，Apple已表示将从2017年1月1日起，所有新提交的App必须强制性应用HTTPS协议来进行网络请求。默认情况下非HTTPS的网络访问是禁止的并且不能再通过简单粗暴的向Info.plist中添加NSAllowsArbitraryLoads设置绕过ATS(App Transport Security)的限制（否则须在应用审核时进行说明并很可能会被拒）。所以还未进行相应配置的公司需要尽快将升级为HTTPS的事项提上进程了。 Https HTTPS就是HTTP协议上再加一层加密处理

CDP-DC启用Auto-TLS

有线加密可保护移动中的数据，而传输层安全性（TLS）是有线加密中使用最广泛的安全协议。TLS通过对端点之间传输的数据包进行加密，在通过网络进行通信的应用程序之间提供身份验证、隐私和数据完整性。用户通过浏览器或命令行工具与Hadoop集群进行交互，而应用程序则使用REST API或Thrift。

03

iOS使用自签名证书实现HTTPS请求

概述在16年的WWDC中，Apple已表示将从2017年1月1日起，所有新提交的App必须强制性应用HTTPS协议来进行网络请求。默认情况下非HTTPS的网络访问是禁止的并且不能再通过简单粗暴的向Info.plist中添加NSAllowsArbitraryLoads设置绕过ATS(App Transport Security)的限制（否则须在应用审核时进行说明并很可能会被拒）。所以还未进行相应配置的公司需要尽快将升级为HTTPS的事项提上进程了。 Https HTTPS就是HTTP协议上再加一层加密

09

使用Nginx+Docker配置HTTPS负载均衡

Docker是一个golang编写的开源轻量级的、可移植的、自给自足的容器，Docker主要应用在以下场景：

04

自从掌握了网络安全，工资直接翻了番，真香！

早期的互联网 -- 1980年代，我们需要共享数据，传输数据；所传输或者共享的数据均为明文，随着互联网发展，安全成为了国家的一种战略资源。我们做的，比如编程，运维 -- 手工业安全属于一种科学研究--安全的算法都是需要以数学难题为基础来进行研究，每个国家都疯狂的去研究自己的加密算法，以及去破译别人的加密算法；美国--禁止出口长于256位的加密算法，DH算法 -- 密钥交换（交换对称密钥）。

01

FastGithub：github加速神器，解决github打不开、用户头像无法加载、releases无法上传下载、git-clone、git-pull、git

github加速神器，解决github打不开、用户头像无法加载、releases无法上传下载、git-clone、git-pull、git-push失败等问题。

00

浅谈https\ssl\数字证书

因此，这三者的关系已经十分清楚了：https依赖一种实现方式，目前通用的是SSL，数字证书是支持这种安全通信的文件。另外有SSL衍生出TLS和WTLS，前者是IEFT将SSL标准化之后产生的（TSL1.0），与SSL差别很小，后者是用于无线环境下的TSL。

03

深入理解HTTPS及在iOS系统中适配HTTPS类型网络请求(上)

本篇博客主要讨论如何在客户端与服务端之间进行HTTPS网络传输，为了深入理解网络传输的基础原理，更加灵活的校验证书，博客的前半部分也将介绍一些HTTPS网络传输原理。当然，文章中有不正和疏漏之处，还望朋友不吝指正，感谢！

06

安卓应用安全指南 5.4.3 通过 HTTPS 的通信高级话题

在本节中，将介绍如何在 Linux（如 Ubuntu 和 CentOS）中创建私有证书和配置服务器。私有证书是指私人签发的服务器证书，并由 Cybertrust 和 VeriSign 等可信第三方证书机构签发的服务器证书通知。

02

解析Java为什么不接受合法的HTTPS证书

在我们使用Java调用远程接口或是抓取数据时经常会发生以下错误： Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.valid

05

https通讯基础知识汇总

trustStore是存储可信任的公钥，如6中红色字体中trustStore的生成过程就是把从keyStore导出的公钥证书导入到trustStore中。

02

Nginx配置自签证书强制跳转Https

Nginx 是世界上最受欢迎的 Web 服务器之一，负责托管互联网上一些最大和流量最高的站点。这是一个轻量级的选择，可以用作 Web 服务器或反向代理。在公司内部，像Zabbix、ELK都可以通过Nginx实现Web端的管理。接下来，我将在 Ubuntu 20.04 服务器上安装 Nginx，创建自签名证书，设定访问https跳转，保障内网客户端浏览器与Web服务器之间的通讯安全。

00

在Spring Boot中使用HTTPS

在本文中，我们将学习在Spring Boot中使用自签名证书配置SSL（HTTPS）,并且要在嵌入式Tomcat上启用Spring Boot应用程序的SSL，我们需要学习以下步骤： 1.创建SSL证书：生成自签名证书，或者使用由受信任的证书颁发机构（CA）颁发的证书。 2.在Spring Boot中启用HTTPS：这可以通过Spring Boot 项目中的一些简单配置来完成。 3. 将HTTP重定向到HTTPS ：在某些情况下，最好也能从HTTP访问你的应用，将所有HTTP流量重定向到HTTPS端

04

解决Curl下载https地址文件出错的问题

使用curl下载https地址文件时，调用 curl_easy_perform 函数返回错误码60，表示CURL_SSL_CACERT错误，大概的意思是没有设置证书。当前使用的 curl版本为：libcurl/7.28.1 OpenSSL/1.0.1u zlib/1.2.2。

01

什么是X.509证书？X.509证书工作原理及应用？

X.509是公钥基础设施（PKI）的标准格式。X.509证书就是基于国际电信联盟（ITU）制定的X.509标准的数字证书。X.509证书主要用于识别互联网通信和计算机网络中的身份，保护数据传输安全。X.509证书无处不在，比如我们每天使用的网站、移动应用程序、电子文档以及连接的设备等都有它的身影。

04

解决Curl下载https地址文件出错的问题

使用curl下载https地址文件时，调用 curl_easy_perform 函数返回错误码60，表示CURL_SSL_CACERT错误，大概的意思是没有设置证书。当前使用的 curl版本为：libcurl/7.28.1 OpenSSL/1.0.1u zlib/1.2.2。

02

keytool 错误: java.io.FileNotFoundException: cacerts (拒绝访问。)

以后更新时，先删除原来的证书，然后导入新的证书查看证书，密钥(yue)口令：changeit

02

研发中：联邦SPIFFE信任域

联邦信任域是SPIFFE和SPIRE最高需求和活跃开发的功能之一。在这篇博文中，我将概述我们当前的计划以及实施它的挑战。

03

云通信产品常见的SSL相关错误及解决方法

SSL协议在当今的网络信息传输过程中起到了不可替代的作用，使用不对称加密技术实现会话双方之间信息的安全传递，实现信息传递的保密性、完整性，并且会话双方能鉴别对方身份。

【实践】如何在本地环境用GO实现HTTPS链接？

本篇文章是基于实操，如何在本地环境用GO实现HTTPS链接。原理部分请参考文章《【深度知识】HTTPS协议原理和流程分析》。

05

调试必备！详解 HTTP 客户端调用 K8S API，建议收藏！

使用 CLI（如 curl）或 GUI（如 postman ）HTTP 客户端调用 Kubernetes API 有很多原因。例如，您可能需要对 Kubernetes 对象进行比 kubectl 提供的更细粒度的控制，或者只是想在尝试从代码访问 API 之前进行探索。

03

iOS 中 HTTPS 证书验证浅析

导语在 WWDC 16 中，Apple 表示, 从 2017年1月1日起（最新消息, 实施时间已延期），所有新提交的 App 使用系统组件进行的 HTTP 网络请求都需要是 HTTPS 加密的，否则会导致请求失败而无法通过审核。精神哥对 HTTPS 的验证过程有一些了解，但对于在iOS中如何实现 HTTPS 验证却不是很清楚，在内网搜索到李晴同学写的这篇文章，阅读后收获不小，分享给大家。正文本文的目的：一是简要分析下对服务器身份验证的完整握手过程，二是证书链的验证，三是探索下iOS中原生库NSUR

09

CA中心构建及证书签发实录

本实验中，我们将通过开源工具OpenSSL构建一个私有CA中心，并以其为根CA，设立一个子CA机构，并为Client提供证书签署服务。

02

数字证书 CA_数字证书申请

上面就是利用认证机构Trent进行公钥密码通信的流程。其中1、2、3这几个步骤仅在注册新公钥时才会进行，并不是每次通信都需要。此外，步骤 4 仅在Alice第一次用公钥密码向Bob发送消息时才需要进行，只要Alice将Bob的公钥保存在电脑中，在以后的通信中就可以直接使用了。

02

Go和HTTPS--1

近期在构思一个产品，考虑到安全性的原因，可能需要使用到HTTPS协议以及双向数字证书校验。之前只是粗浅接触过HTTP（使用Golang开发微信系列）。对HTTPS的了解则始于那次自行搭建ngrok服务，在那个过程中照猫画虎地为服务端生成了一些私钥和证书，虽然结果是好的：ngrok服务成功搭建起来了，但对HTTPS、数字证书等的基本原理并未求甚解。于是想趁这次的机会，对HTTPS做一些深度挖掘。主要途径：翻阅网上资料、书籍，并利用golang编写一些实验examples。一、HTTPS简介日常生活中

04

傻分不清楚的kubernetes证书

要深入了解证书的作用，首先需要了解一些原理和具备一些基本知识，比如什么是非对称加密，什么是公钥，私钥，数字签名是啥等。先从RSA算法说起。

03

java SSL

防止抵赖，能够检查签名之后内容是否有更改。通过单向散列算法对内容进行求值，相当于对内容进行提取了指纹。

02

利用httpd+openssl来实现网站的https

CA验证中心（颁发/吊销证书） / \ \ CA 证书 / 下发 \ \ 证书请求 / 证书 \ \ client <--------数字证书------ WEB 1。web服务器,生成非对称加密密钥对（web公钥，web私钥） 2。web服务器使用 web身份信息＋web公钥生成 web服务器的证书请求，并将证书请求发给CA服务器 3。CA服务器使用 CA的私钥对 web 服务器的证书请求进行数字签名得到 web服务器的数字证书，并将web服务器的数字证书颁发给web服务器。 4。client访问web服务器，请求https连接，下载web数字证书 5。client下载 CA数字证书（CA身份信息＋CA公钥，由上一级CA颁发，也可自签名颁发），验证 web数字证书（CA数字证书中有CA公钥，web数字证书是使用CA私钥签名的） 6。client与web协商对称加密算法，client生成对称加密密钥并使用web公钥加密，发送给web服务器，web服务器使用web私钥解密 7。使用对称加密密钥传输数据，并校验数据的完整性利用httpd+openssl来实现网站的https

02

利用httpd+OpenSSL来实现网站的https

CA验证中心（颁发/吊销证书） / \ \ CA 证书 / 下发 \ \ 证书请求 / 证书 \ \ client <--------数字证书------ WEB

01

iOS 中 HTTPS 证书验证浅析

客户端发起请求，以明文传输请求信息，包含版本信息，加密套件候选列表，压缩算法候选列表，随机数random_C，扩展字段等信息。

03

软考高级架构师：PKI公钥体系概念和例题

数字证书内容和PKI公钥体系涉及到网络安全领域的重要概念。PKI（Public Key Infrastructure，公钥基础设施）是一种利用公钥和私钥进行加密和数字签名的体系结构，旨在为电子交易提供安全保障。PKI体系的核心组成部分包括CA（Certificate Authority，认证中心）、RA（Registration Authority，注册审批机构）、证书受理点和秘钥管理中心。下面用表格的形式来简要介绍这些概念：

00

PKI - 借助Nginx 实现Https 服务端单向认证、服务端客户端双向认证

openssl采用C语言作为开发语言，这使得它具有优秀的跨平台性能。openssl支持Linux、UNIX、windows、Mac等平台。openssl目前最新的版本是0.9.8e.

00

商业证书颁发机构与自签名SSL证书之间的比较

无论是公共网站，Intranet流量还是Web应用程序的登台服务器，您都需要一个证书来保护您的数据并满足用户的安全需求。

06

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭