Получить и использовать Root-CA список Microsoft или Mozilla и использовать его в Java?

Question

Список включенных сертификатов root-CA в OpenJDK для Windows впечатляет, но есть много сертификатов root-CA, которым доверяют обычные браузеры, такие как Firefox, которым Java не доверяет.

Обе Microsoft и Mozilla публикуют свой текущий список сертификатов корневого ЦС, но используемый формат файла кажется проприетарным.

В проекте curl есть автоматический конвертер, который использует файл Mozilla в качестве источника, однако этот конвертер ( mk-ca-bundle ) является скриптом Perl.

Есть ли способ прочитать один из этих списков на простом Java, чтобы впоследствии его можно было использовать в качестве хранилища доверия?

Answer 1

OpenJDK описывает, как они создают файл cacerts в файлах безопасности для репозитория OpenJDK . Скрипт загружает сертификаты от Mozilla:

wget https://hg.mozilla.org/mozilla-central/raw-file/tip/security/nss/lib/ckfw/builtins/certdata.txt .

Согласно инструкциям репо вы можете создать свой собственный файл cacerts, который будет доверять другому списку сертификатов по вашему выбору:

1. Загрузите следующий скрипт Perl: https://raw.githubusercontent.com/curl/curl/master/lib/mk-ca-bundle.pl

2. Загрузите следующее приложение Java: https://github.com/use-sparingly/keyutil/releases/download/0.4.0/keyutil-0.4.0.jar (источник доступен по адресу https://github.com/use-sparingly/keyutil)

3. Запустите предоставленный сценарий GenerateCertsFile.sh с помощью: bash ./GenerateCertsFile.sh - при этом будут использоваться вышеуказанные файлы, если они находятся в том же каталоге, что и сценарий

4. Используйте предоставленные каскады: оно должно быть в jdk/jre/lib/security или jdk/lib/securityfolder