Java密钥库中的中间CA证书

您需要在证书链方面进行推理。 中间CA证书的目标是让远程方在最终实体证书（例如服务器或客户端证书本身）与链上的另一个CA证书之间建立链。

如果您正在讨论将此中间CA证书导入到将用作信任库的密钥库中，那么该CA证书是中间CA证书还是“根”CA证书并不重要：它将成为受信任的锚点，如另一个用于使用该信任库的应用程序。

如果您正在谈论用作密钥库的密钥库，则需要确保您的EEC将与正确的链一起呈现。

例如，假设CA_1颁发CA_2证书，CA_2颁发服务器S的证书。您的客户端在其可信锚点（但不一定是CA_2）中具有证书CA_1：您需要提供链“S，CA_2”，这样他们就可以通过CA_2validation链（否则，他们不知道如何将CA_1链接到S）。

为此，您需要确保S及其私钥的条目包含它需要发送的链（S，CA_2），而不仅仅是证书S.在密钥库中的单独条目中导入CA_2将不会生成JSSE构建出示证书时的链条。

在这个答案中描述了如何这样做（虽然这是从客户端证书的角度来看）。

按顺序回答您的问题：

我认为在密钥库中添加中间证书与添加“常规证书”的过程相同，对吗？

是。 例如，请参阅此VMWare有关安装中间CA的文档 。

我需要注意哪些“陷阱”？

只有每个中间CA都需要它自己的别名。

另外，如何在测试中validationJava是否使用中间证书而不是使用CA进行检查？

如果您只是想validation它没有检查根CA，那么就不要安装它，并且您知道它不能被使用。

更新 ：回应@Bruno的评论，可以指出这个答案只解决了问题中提出的问题。 我在这里假设已经处理了围绕信任和证书分发的问题，这是首先拥有中间CA的正常原因，并且这是理想的解决方案。 有关这些问题的更多信息，您应该看看布鲁诺的答案 。