我有許多不同的伺服器,運行由多個內部團隊開發的不同軟體包。當他們嘗試透過 Web 呼叫連接應用程式時,我們發現 Java 似乎不信任我們正在使用的商業 CA (Comodo)。解決方案似乎是將根憑證和中間憑證匯入到每個 Java 實例的金鑰庫中,但我似乎找不到自動執行此操作的好方法。每個實例似乎都是手動的。
誰能告訴我批發的任何方法?
答案1
您需要的是中間憑證而不是根憑證。它由 java 可以識別的憑證簽署(可能是由您的作業系統供應商分發的),因此您的 java 應用程式可以在缺少所需的中間憑證時下載該憑證。透過 http 下載是可以的,因為您將驗證內容是否已由已知的根憑證簽署。
如果您確實想從應用程式外部分發證書,則需要一個設定管理工具。例如,Puppet、Chef、Ansible 和 Salt 都是受歡迎的選項。
如果這是您唯一要管理的事情,那麼 Ansible 可能是最簡單的設置,但我建議您花一些時間考慮是否應該更充分地利用配置管理在您的環境中。