Tomcat如何处理密钥存储中的多个SSL证书？

Question

我们有一个架构，其中几个Java 7 Tomcat应用程序通过HTTPS与一个特殊的web服务(也是生活在不同VM上的Tomcat应用程序)通信。

更新的基于SHA-2的SSL证书本机不受许多Java 7 JREs的信任。因此，一种解决方案是将Java 7客户端应用程序升级到Java 8，其发行版都支持SHA-2。然而，出于这个问题范围之外的原因，我们的两个应用程序非常庞大，不能在短期内升级到Java 8。

我希望我可以在web服务的keystore中放置2个SSL证书，所以我们将有一个旧的Java 7友好的SHA-1证书以及更新的SHA-2证书。希望客户端应用程序能够“选择”使用哪个证书，因此，Java 7应用程序可以信任旧的应用程序，Java 8应用程序也可以信任它。

所以我问:当keystore中包含多个SSL证书时，Tomcat 8的行为如何？它只是返回第一个证书，还是向HTTPS客户端提供所有可用的证书并允许他们选择使用哪个证书？还是发生了完全不同的事情？

Answer 1

我不知道任何服务器运行在一个端口上的多个证书上。但是，您可以做的是定义另一个连接器，侦听server.xml配置中的端口8434，指向较新的证书技术。您可以使用相同的密钥存储库，但必须在连接器配置中添加参数keyAlias才能定义要使用的正确别名。