我在 CentOS7 上安装了 Jenkins,在尝试更新/安装插件时遇到 SSL 错误。经过一番调查后,发现我的 Java CA 存储中缺少根 CA 证书。
我使用该keytool实用程序将缺少的 CA 证书添加到 Java CA 存储中,并且它起作用了。然而我发现不得不篡改它很烦人。
难道就没有办法让Java继承系统信任的根CA证书吗?如果是,怎么办?
答案1
只需将您的证书文件复制到 CentOS 7.x 上的此目录即可:
$ sudo cp <cert file> /etc/pki/ca-trust/source/anchors/
将证书文件放入此目录后,运行以下命令以使用新添加的证书更新系统:
$ sudo update-ca-trust
Java 呢?
如果您查看手册页,update-ca-trust您将看到以下部分:
$ man update-ca-trust
...
/etc/pki/java/cacerts
经典文件名,文件包含受 TLS 服务器身份验证使用信任的 CA 证书列表,采用 Java 密钥库文件格式,没有不信任信息。该文件是一个符号链接,引用 update-ca-trust 命令创建的合并输出。
如果您查看该文件,您可以看到它如何插入/etc/pki目录结构的其余部分:
$ ll /etc/pki/java/cacerts
lrwxrwxrwx. 1 root root 40 May 2 10:41 /etc/pki/java/cacerts -> /etc/pki/ca-trust/extracted/java/cacerts
如果我们针对它运行 Java keytool:
$ keytool -list -keystore /etc/pki/java/cacerts -storepass changeit |& head
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 155 entries
hellenicacademicandresearchinstitutionsrootca2011, May 2, 2018, trustedCertEntry,
Certificate fingerprint (SHA1): FE:45:65:9B:79:03:5B:98:A1:61:B5:51:2E:AC:DA:58:09:48:22:4D
taiwangrca, May 2, 2018, trustedCertEntry,
Certificate fingerprint (SHA1): F4:8B:11:BF:DE:AB:BE:94:54:20:71:E6:41:DE:6B:BE:88:2B:40:B9
teliasonerarootcav1, May 2, 2018, trustedCertEntry,
您可以看到上面已经获取了所有可用的证书,并且它们被自动合并到这个 Java JKS 文件中。该文件可供系统上运行的任何 Java 应用程序使用。