我能用JSSE的CA吗？

Question

也许标题不对但我想要理解的是..。

我想为我的CA创建一个证书，它将是自签名的，然后为我的客户端和我的服务器创建证书。这与JSSE是可能的吗？我已经找到了如何只使用OpenSSL来实现这个目的。

Answer 1

JSSE是对SSL/TLS的支持。它使用证书，但不包含生成证书的代码。而且，更普遍地说，股票JVM中没有支持生成新证书的代码。有生成新密钥对和签名的代码；从那里生成自签名证书“只是”实现一些ASN.1编码/解码的问题，这说起来容易做起来难。

在“完整Java”中，您最好的选择是使用一些第三方库或产品来完成这项工作。弹跳城堡是一个包含生成证书的代码的Java库。或者，EJBCA是一个完整的PKI解决方案(用Java编写)，根据定义，它可以生成证书，因为证书颁发机构就是这样做的。

证书最大的障碍是理解你在做什么，因为当你说到这里的时候，X.509标准是一种恶魔滋生的可憎的东西，它意味着折磨和充满绝望和悲伤的安全开发人员。您想要做的实际上是运行您自己的CA，所以您最好从一个CA解决方案开始，该解决方案已经解决了大部分棘手的细节，与OpenSSL命令行工具相反，后者的级别相当低。你仍然需要思考，但至少你不会在尝试中发疯。