TLS连接中的Truststore

Question

例如，根据TLS连接定义，作为客户端，我使用keystore存储我的私钥和证书，并使用信任存储存储某些类型的证书。在服务器端，也就是Youtube，它有一个名为Youtube.pem的根证书，由Google.crt CA签名。

我知道信任库是在握手时验证第三方证书的。

我的问题是，在握手过程中，我的信任库到底应该存储什么？

第三part)

• Google.crt ( CA证书)发送的CA签名证书(

1. Youtube.pem )

Answer 1

例如，根据

连接定义，作为客户端，我使用keystore来存储我的私钥和证书，并使用信任库来存储某些类型的证书。

是的，但是您只需要使用客户端身份验证时才需要keystore。请注意，“密钥存储库”和“信任存储库”指示存储是如何使用的，它们可以是相同类型的(例如PKCS#12)，甚至是相同的文件。

服务器端的

被称为Youtube，它有一个名为Youtube.pem的根证书，该证书由Google.crt CA签名。

不，YouTube是一个服务，它有一个叶或end实体证书.根证书是第三方CA的证书。end实体证书通常由中间CA证书签名，然后由自签名根证书签名。

我知道信任库是在握手时验证第三方证书的

它用于验证和验证从叶子证书到信任库中的信任锚点的信任路径。信任锚通常是存储在信任库中的根证书之一。leaf证书由终端实体/服务器指示，中间证书通常也由服务器发送，但也可以从缓存中检索。

在YouTube的情况下，使用Google，如果GlobalSign根不存在于信任存储中，则可能通过链接证书使用GlobalSign根。

因此，您的信任库应该包含Google证书或GlobalSign根，以便在本例中使连接工作。