補個之前用過的記錄 … 由於所有機器都在內網環境,所以與外界隔絕的機器經過時代的變遷都會有「跟不上時代」的狀況 … 比如:無法到 Internet 更新 SSL 的 root ca 憑證
這篇要寫的就是怎麼更新 Java KeyStore 的 Root CA 憑證,由於公司的 SSL 憑證都改由 Gandi 註冊,所以一些比較舊的 Java 版本在 Keystore 就沒有內建到這個 Root CA。
首先先到 Gandi 取得 Root CA,丟到機器上
更新 JDK 的 Root 憑證可以用內建在 JDK 裡面的 keytool 來匯入 root crt 檔案
$ keytool -import -alias gandi-root -file gandi-root.crt -keystore /etc/ssl/certs/java/cacerts -storepass changeit -trustcacerts
cacerts 就是 Java 存取 Root CA 的 keystore。
然後再用 keystore 驗證一下剛剛匯入的 gandi 憑證是否存在,預設 keystore 是沒有密碼的,直接 enter 即可。
$ keytool -list -v -keystore /etc/ssl/certs/java/cacerts Enter keystore password: