Tenho vários servidores diferentes executando diferentes pacotes de software desenvolvidos por várias equipes internas. Enquanto eles tentam conectar seus aplicativos por meio de chamadas da web, descobrimos que o Java não parece confiar na CA comercial que estamos usando (Comodo). A solução parece ser importar os certificados raiz e intermediários para o keystore para cada instância Java, mas não consigo encontrar uma boa maneira de automatizar isso. Parece manual por exemplo.
Alguém pode me indicar algum método de fazer isso no atacado?
Responder1
O que você deseja é um certificado intermediário em vez de raiz. Ele é assinado por um certificado que o Java reconhecerá (presumivelmente distribuído pelo fornecedor do seu sistema operacional); portanto, seu aplicativo Java poderá simplesmente baixar o certificado intermediário necessário, se estiver faltando. baixar por http é bom, pois você validará se o conteúdo foi assinado por um certificado raiz conhecido.
Se quiser distribuir o certificado de fora do seu aplicativo, você deseja uma ferramenta de gerenciamento de configuração. por exemplo, Puppet, Chef, Ansible e Salt são opções populares.
Se esta é a única coisa que você vai gerenciar, então o Ansible provavelmente será o mais simples de configurar, mas eu recomendo que você reserve um pouco de tempo para pensar se deve fazer um uso mais completo do gerenciamento de configuração em seu ambiente.