Java密钥库中的中间CA证书

如果您正在讨论将此中间CA证书导入到将用作信任库的密钥库中,那么该CA证书是中间证书还是“根”CA证书并不重要：它将成为受信任的锚点,如另一个用于使用该信任库的应用程序.

如果您正在谈论用作密钥库的密钥库,则需要确保您的EEC将与正确的链一起呈现.

例如,假设CA_1颁发CA_2证书,CA_2颁发服务器S的证书.
您的客户在其可信锚点(但不一定是CA_2)中具有证书CA_1：您需要提供链“S,CA_2”,以便他们可以通过CA_2验证链(否则,他们将不知道如何链接CA_1到S).

为此,您需要确保S及其私钥的条目包含它需要发送的链(S,CA_2),而不仅仅是证书S.在密钥库中的单独条目中导入CA_2将不会生成JSSE构建出示证书时的链条.

在this answer中描述了如何执行此操作(尽管这是从客户端证书的角度来看).