Подтвердить что ты не робот

При импорте сертификата с помощью keytool, зачем использовать опцию trustcacerts

keytool -import -trustcacerts

Я смущен этой опцией trustcacerts keytool

когда я googled на этом, я узнал эти точки

1. В зависимости от ситуации вам может не потребоваться опция -trustcacerts. Попробуйте выполнить операцию, если хотите.

Аргумент -trustcacerts сообщает keytool, что вы хотите импортировать это как доверенный сертификат.

Используйте файл cacerts для получения доверенных сертификатов из сертификатов, которые подписали импортируемый сертификат.

Наконец-то я узнал, что этот trustcacerts не является обязательным, но у меня есть и следующий запрос

как правило, любой разработчик/генеральный директор сайта хочет, чтобы их сайт был доволен Клиентами, то почему нам нужно явно указывать это с помощью команды keytool?

Спасибо

4b9b3361

ОТВЕТЫ

Ответ 1

При импорте сертификата, отличного от самозаверяющего корневого сертификата (например, промежуточных сертификатов), keytool сначала пытается создать и проверить правильный путь сертификата.

Если вы используете параметр trustcacerts, то для построения пути keytool рассмотрит не только сертификаты, уже содержащиеся в хранилище доверия, но дополнительно рассмотрит сертификаты, содержащиеся в хранилище ключей cacerts этот файл находится в папке lib/security вашей установки JRE). Сертификаты в cacerts являются своего рода списком доверия по умолчанию, официально доверенными корневыми сертификатами (аналогично спискам, на которые доверяет ваш браузер по умолчанию).

Этот параметр не нужен, поскольку вы всегда можете принудительно импортировать сертификат. При импорте самозаверяющего корневого сертификата также не имеет смысла, поскольку в этой ситуации невозможно создать путь сертификата, либо вы доверяете корневому файлу, либо нет.

Но это может быть приятной особенностью, если вы знаете, что импортированный сертификат должен быть выпущен одним из сертификатов, содержащихся в cacerts - keytool, предупредит вас, если он все еще не сможет создать и проверить весь путь сертификата - что скорее всего, будет предупреждением, что что-то не так с сертификатом, который вы пытались импортировать.