平台
RedHat Enterprise Linux 7
WebSphere Liberty Profile 8.5.5.8
问题
我有几个 Liberty 实例/应用程序连接到 Liberty Collective Controller,因此具有特定于每个实例的 ssl 和密钥库。
同时,许多应用程序外部/出站连接到不同的 https://,并且需要存储来自 Commodo、Buypass、Thawte 等的根证书以避免The signer might need to be added to local trust store和could not build a valid CertPath等。
目标
使用服务器(Java / RedHat)提供的 CA 根证书存储不变,并使用导入私有证书的“pr-instance”信任库 - 组合。
问题
是否可以将“个人”信任库与服务器提供的信任库(或两个)结合起来,即来自 Java 安装/opt/Liberty/java/java_1.8_64/jre/lib/security/cacerts文件或 RPM 包ca-certificates
如果是这样 - 如何?
我当前的 ssl 配置如下所示:
<!-- Connection to the collective controller -->
<collectiveMember controllerHost="<server>"
controllerPort="<port>" />
<!-- clientAuthenticationSupported set to enable bidirectional trust -->
<ssl id="defaultSSLConfig"
keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore"
clientAuthenticationSupported="true" />
<!-- inbound (HTTPS) keystore -->
<keyStore id="defaultKeyStore" password="******"
location="${server.config.dir}/resources/security/key.jks" />
<!-- inbound (HTTPS) truststore -->
<keyStore id="defaultTrustStore" password="*****"
location="${server.config.dir}/resources/security/trust.jks" />
<!-- server identity keystore -->
<keyStore id="serverIdentity" password="******"
location="${server.config.dir}/resources/collective/serverIdentity.jks" />
<!-- collective truststore -->
<keyStore id="collectiveTrust" password="*******"
location="${server.config.dir}/resources/collective/collectiveTrust.jks" />