Если Tomcat настроен для взаимной аутентификации SSL, вы можете получить клиент javax.servlet.request.X509Certificate из запроса сервлета.
В приложении сервера мне нужен ключ для шифрования файла.
Является ли хорошей идеей использовать часть Сертификата клиента X509, например, SubjectPublicKeyInfo, в качестве ключа шифрования?
Сертификат клиента должен быть таким же секретным, как и любой пароль, не так ли?
(этот вопрос имеет пример API Java, но не относится к Java)