私は、Webサービスを外部の許可されたクライアントに公開するJavaアプリケーションを構築しました。 Webサービスは、証明書認証でWSセキュリティを使用します。基本的に私たちはカスタム認証局として行動します。私たちはサーバー上にJavaトラストストアを維持し、クライアントの証明書に署名して追加します。現在、WSクライアントが証明書署名要求をアップロードする必要がある手動登録プロセスがあります。 CSRに署名し、コマンドラインからkeytoolを使用してJavaトラストストアに証明書を追加し、CA証明書とともに署名付き証明書をクライアントに返します。次にクライアントは秘密鍵を使用してSOAPメッセージのペイロードに署名し、署名された証明書をメッセージに埋め込みます。サーバー側はデジタル署名を復号化し、クライアント要求を満たす前に、埋め込まれた証明書が署名されており、証明書が当社のトラストストアに一致することを検証します。更新 - Javaトラストストアでの自己署名入りCA証明書の更新
(手作業のため)この設定はうまくいきます。今私は、私たちのルートCA証明書が間もなく期限切れになることを認識しました。したがって、私はセットアップ保守ポリシーを探しています。自己署名付きルートCA証明書を更新するにはどうすればよいですか?私は新しいものを作成し、元のものを置き換える必要があるように見えます。そしてそれは、新しい証明書を受け取り、新しいCA証明書をインポートする必要があるすべてのクライアントに影響を与えます。それは正しい理解か、状況を処理するためのより良い方法があるか?
私は、元の鍵ペアを生成するためにopensslを使用しました。
openssl req -x509 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem -config openssl.cnf
良い質問!私は同じことをやってしまい、新しいものを作りましたが、今度はより多くの日数で作成します。 openssl.cnfファイルでこれを設定できます。 – Arham
間違いなく今回は有効期限を延長します。ありがとう。 – jay