JEP 319:根证书
概括
在 JDK 中提供一组默认的根证书颁发机构 (CA) 证书。
目标
开源 Oracle Java SE 根 CA 程序中的根证书,以使 OpenJDK 版本对开发人员更具吸引力,并减少这些版本与 Oracle JDK 版本之间的差异。
动机
密钥库cacerts是JDK 的一部分,旨在包含一组根证书,可用于在各种安全协议中使用的证书链中建立信任。cacerts然而,JDK 源代码中的密钥库目前为空。因此,TLS 等关键安全组件默认在 OpenJDK 版本中不起作用。要解决此问题,用户必须使用cacerts一组根证书配置并填充密钥库,如JDK 9 发行说明中所述。
描述
密钥库cacerts将填充一组由 Oracle Java SE 根 CA 计划的 CA 颁发的根证书。作为先决条件,每个 CA 必须签署Oracle 贡献者协议 (OCA)或同等协议,以授予 Oracle 开源其证书的权利。以下是已签署所需协议的 CA,以及每个 CA 将包含的根证书列表(由专有名称标识)。此列表包括当前属于 Oracle Java SE 根 CA 计划成员的大多数 CA。未签署协议的,暂不纳入其中。那些需要较长时间处理的内容将包含在下一个版本中。
阿特利斯公司
- CN=Actalis 身份验证根 CA、O=Actalis SpA/03358520967、L=米兰、C=IT
购买通行证AS
- CN=Buypass 2 类根 CA,O=Buypass AS-983163327,C=NO
- CN=Buypass 3 级根 CA,O=Buypass AS-983163327,C=NO
相机公司
- CN=商会根,OU=http://www.chambersign.org,O=AC Camerfirma SA CIF A82743287,C=EU
- CN=Chambers of Commerce Root - 2008、O=AC Camerfirma SA、SERIALNUMBER=A82743287、L=马德里(请参阅 www.camerfirma.com/address 上的当前地址)、C=EU
- CN=Global Chambersign Root - 2008、O=AC Camerfirma SA、SERIALNUMBER=A82743287、L=马德里(请参阅 www.camerfirma.com/address 上的当前地址)、C=EU
塞图姆
- CN=Certum CA,O=Unizeto Sp。 z oo, C=PL
- CN=Certum 可信网络 CA、OU=Certum 证书颁发机构、O=Unizeto Technologies SA、C=PL
中华电信股份有限公司
- OU=ePKI 根证书颁发机构、O="中华电信股份有限公司"、C=TW
科摩多加利福尼亚有限公司
- CN=AddTrust 1 类 CA 根、OU=AddTrust TTP 网络、O=AddTrust AB、C=SE
- CN=AddTrust 外部 CA 根、OU=AddTrust 外部 TTP 网络、O=AddTrust AB、C=SE
- CN=AddTrust 合格 CA 根、OU=AddTrust TTP 网络、O=AddTrust AB、C=SE
- CN=AAA 证书服务、O=Comodo CA Limited、L=索尔福德、ST=大曼彻斯特、C=GB
- CN=COMODO ECC 认证机构、O=COMODO CA Limited、L=索尔福德、ST=大曼彻斯特、C=GB
- CN=COMODO RSA 认证机构、O=COMODO CA Limited、L=索尔福德、ST=大曼彻斯特、C=GB
- CN=USERTrust ECC 认证机构、O=USERTRUST 网络、L=泽西市、ST=新泽西州、C=US
- CN=USERTrust RSA 证书颁发机构、O=USERTRUST 网络、L=泽西市、ST=新泽西州��、C=US
- CN=UTN-USERFirst-客户端身份验证和电子邮件,OU=http://www.usertrust.com,O=USERTRUST 网络,L=盐湖城,ST=UT,C=US
- CN=UTN-USERFirst-Hardware、OU=http://www.usertrust.com、O=USERTRUST 网络、L=盐湖城、ST=UT、C=US
- CN=UTN-USERFirst-Object、OU=http://www.usertrust.com、O=USERTRUST 网络、L=盐湖城、ST=UT、C=US
数字证书公司
- CN=巴尔的摩 CyberTrust 根、OU=CyberTrust、O=巴尔的摩、C=IE
- CN=巴尔的摩 CyberTrust 代码签名根、OU=CyberTrust、O=巴尔的摩、C=IE
- CN=DigiCert 全球根 CA、OU=www.digicert.com、O=DigiCert Inc、C=US
- CN=DigiCert 全球根 G2、OU=www.digicert.com、O=DigiCert Inc、C=US
- CN=DigiCert 全球根 G3、OU=www.digicert.com、O=DigiCert Inc、C=US
- CN=DigiCert 受信任根 G4、OU=www.digicert.com、O=DigiCert Inc、C=US
- CN=DigiCert 保证 ID 根 CA、OU=www.digicert.com、O=DigiCert Inc、C=US
- CN=DigiCert 保证 ID 根 G2、OU=www.digicert.com、O=DigiCert Inc、C=US
- CN=DigiCert 保证 ID 根 G3、OU=www.digicert.com、O=DigiCert Inc、C=US
- CN=DigiCert 高保证 EV 根 CA、OU=www.digicert.com、O=DigiCert Inc、C=US
- OU=Equifax 安全证书颁发机构、O=Equifax、C=US
- CN=Equifax Secure eBusiness CA-1、O=Equifax Secure Inc.、C=US
- CN=Equifax Secure 全球电子商务 CA-1、O=Equifax Secure Inc.、C=US
- CN=GeoTrust Global CA、O=GeoTrust Inc.、C=US
- CN=GeoTrust 主要认证机构,O=GeoTrust Inc.,C=US
- CN=GeoTrust 主要证书颁发机构 - G2、OU=(c) 2007 GeoTrust Inc. - 仅供授权使用,O=GeoTrust Inc.、C=US
- CN=GeoTrust 主要证书颁发机构 - G3、OU=(c) 2008 GeoTrust Inc. - 仅供授权使用,O=GeoTrust Inc.、C=US
- CN=GeoTrust Universal CA、O=GeoTrust Inc.、C=US
- CN=GTE CyberTrust Global Root、OU="GTE CyberTrust Solutions, Inc."、O=GTE Corporation、C=US
- CN=thawte 主根 CA、OU="(c) 2006 thawte, Inc. - 仅供授权使用"、OU=认证服务部门、O="thawte, Inc."、C=US
- CN=thawte 主根 CA - G2、OU="(c) 2007 thawte, Inc. - 仅供授权使用"、O="thawte, Inc."、C=US
- CN=thawte 主根 CA - G3、OU="(c) 2008 thawte, Inc. - 仅供授权使用"、OU=认证服务部门、O="thawte, Inc."、C=US
- EMAILADDRESS=premium-server@thawte.com、CN=Thawte 高级服务器 CA、OU=认证服务部门、O=Thawte Consulting cc、L=开普敦、ST=西开普省、C=ZA
- CN=Thawte 时间戳 CA、OU=Thawte 认证、O=Thawte、L=德班维尔、ST=西开普省、C=ZA
- OU=1 类公共主要证书颁发机构,O="VeriSign, Inc.",C=US
- OU=VeriSign 信任网络、OU="(c) 1998 VeriSign, Inc. - 仅供授权使用"、OU=1 类公共主要证书颁发机构 - G2、O="VeriSign, Inc."、C=US
- CN=VeriSign 1 类公共主要证书颁发机构 - G3,OU="(c) 1999 VeriSign, Inc. - 仅供授权使用",OU=VeriSign 信任网络,O="VeriSign, Inc.",C=US
- OU=VeriSign 信任网络、OU="(c) 1998 VeriSign, Inc. - 仅供授权使用"、OU=2 类公共主要证书颁发机构 - G2、O="VeriSign, Inc."、C=US
- CN=VeriSign 2 级公共主要证书颁发机构 - G3,OU=“(c) 1999 VeriSign, Inc. - 仅供授权使用”,OU=VeriSign 信任网络,O=“VeriSign, Inc.”,C=US
- OU=3 级公共主要证书颁发机构,O="VeriSign, Inc.",C=US
- OU=VeriSign 信任网络、OU="(c) 1998 VeriSign, Inc. - 仅供授权使用"、OU=3 级公共主要证书颁发机构 - G2、O="VeriSign, Inc."、C=US
- CN=VeriSign 3 级公共主要证书颁发机构 - G3,OU="(c) 1999 VeriSign, Inc. - 仅供授权使用",OU=VeriSign 信任网络,O="VeriSign, Inc.",C=US
- CN=VeriSign 3 级公共主要证书颁发机构 - G4、OU="(c) 2007 VeriSign, Inc. - 仅供授权使用"、OU=VeriSign 信任网络、O="VeriSign, Inc."、C=US
- CN=VeriSign 3 级公共主要证书颁发机构 - G5、OU="(c) 2006 VeriSign, Inc. - 仅供授权使用"、OU=VeriSign Trust Network、O="VeriSign, Inc."、C=US
- CN=VeriSign 通用根证书颁发机构,OU="(c) 2008 VeriSign, Inc. - 仅供授权使用",OU=VeriSign 信任网络,O="VeriSign, Inc.",C=US
文档签名
- CN=2 类主要 CA、O=Certplus、C=FR
- CN=3P 级主要 CA、O=Certplus、C=FR
- CN=KEYNECTIS 根 CA、OU=ROOT、O=KEYNECTIS、C=FR
D-TRUST 有限公司
- CN=D-TRUST 根类别 3 CA 2 2009,O=D-Trust GmbH,C=DE
- CN=D-TRUST 根类别 3 CA 2 EV 2009,O=D-Trust GmbH,C=DE
艾登信托公司
- CN=DST 根 CA X3,O=数字签名信托公司。
- CN=IdenTrust 公共部门根 CA 1、O=IdenTrust、C=US
- CN=IdenTrust 商业根 CA 1、O=IdenTrust、C=US
让我们加密
- CN=ISRG Root X1、O=互联网安全研究组、C=US
勒克斯信托公司
- CN=LuxTrust 全局根、O=LuxTrust sa、C=LU
科瓦迪斯有限公司
- CN=QuoVadis 根证书颁发机构、OU=根证书颁发机构、O=QuoVadis Limited、C=BM
- CN=QuoVadis 根 CA 1 G3,O=QuoVadis 有限公司,C=BM
- CN=QuoVadis 根 CA 2、O=QuoVadis 有限公司、C=BM
- CN=QuoVadis Root CA 2 G3,O=QuoVadis Limited,C=BM
- CN=QuoVadis 根 CA 3、O=QuoVadis 有限公司、C=BM
- CN=QuoVadis Root CA 3 G3,O=QuoVadis Limited,C=BM
西科姆信托系统
- OU=安全通信根CA1、O=SECOM Trust.net、C=JP
- OU=安全通信根CA2、O=“SECOM Trust Systems CO.,LTD.”、C=JP
- OU=安全通信 EV RootCA1, O="SECOM Trust Systems CO.,LTD.", C=JP
瑞士标志股份公司
- CN=SwissSign Gold CA - G2、O=SwissSign AG、C=CH
- CN=SwissSign Platinum CA - G2、O=SwissSign AG、C=CH
- CN=SwissSign Silver CA - G2、O=SwissSign AG、C=CH
特利亚
- CN=Sonera Class2 CA、O=Sonera、C=FI
信任波
- CN=SecureTrust CA、O=SecureTrust Corporation、C=US
- CN=XRamp 全球认证机构、O=XRamp 安全服务公司、OU=www.xrampsecurity.com、C=US
测试
cacerts将创��建测试,通过验证每个根证书的 SHA-256 指纹来验证密钥库的完整性。如果可行,还将编写测试来验证 CA 颁发的测试证书,该证书链回所包含的根。将添加其他测试,以确保依赖于根证书的安全组件在 OpenJDK 构建上开箱即用,无需任何其他配置。