使用cacerts作为不在自定义trustStore中的键的后备选项的自定义trustStore

Question

有没有一种方法可以通过命令行或自定义信任管理器来创建由cacerts支持的自定义trustStore？

应用程序使用自定义trustStore：

-Djavax.net.ssl.trustStore=/SSL/CATrust.jks

来持有我们自己的信任证书，这是在一个自定义文件中完成的，以简化JDK的升级，而不必迁移证书。

问题是cacerts携带了太多的标准证书，我们还没有导入到CATrust.jks中。因此，我们会收到SSL错误，因为通过命令行属性提供的自定义CATrust.jks是独占的，并且不是相加的(除了cacerts证书之外)。

那么，是否有一种方法可以提供自定义trustStore，并且如果在该trustStore中找不到证书，服务器/应用程序将退回到尝试在证书(或辅助trustStore)中查找证书？

到目前为止，从最初的阅读和其他帖子，信息谈到只有一个trustStore，其中所有CA证书。

Answer 1

作为部署的一部分，您可以复制默认的cacerts并将您自己的密钥库的内容导入其中(或者反过来)：

cp /path/to/cacerts merged.jks
keytool -importkeystore -srckeystore /SSL/CATrust.jks -destkeystore merged.jks

最好避免使用相同的别名(有关详细信息，请查看keytool -importkeystore的选项，特别是如果这必须是脚本的一部分)。