就
cacerts文件中的内容而言,这不一定比依赖于操作系统或浏览器中安装的默认CA证书更糟糕的做法,但这并不意味着它很好。
Sun /
Oracle在《JSSE参考指南》中间的某个地方有一些“重要说明”
:
重要说明:JDK随附了/ lib / security /
cacerts文件中有限数量的受信任的根证书。如keytool中所述,如果您将此文件用作信任库,则有责任维护(即添加/删除)此文件中包含的证书。根据您联系的服务器的证书配置,您可能需要添加其他根证书。从适当的供应商处获取所需的特定根证书。
在配置方面,对于必须安装“本地”
CA证书的特定应用程序,我发现使用本地信任库(例如,通过指定
javax.net.ssl.trustStore)更加稳定。
