4.4. 使用信任存储
为了正确验证客户端证书并启用某些身份验证方法,如双向 TLS 或 mTLS,您可以使用服务器应信任的所有证书(和证书链)设置信任存储。依赖此信任存储的功能数量使用证书正确验证客户端,例如:
- mutual-TLS 客户端身份验证
- 最终用户 X.509 浏览器身份验证
您可以运行以下命令来配置此信任存储的位置:
bin/kc.[sh|bat] start --https-trust-store-file=/path/to/file
注意
此信任存储适用于验证红帽构建的 Keycloak 作为服务器的客户端。有关配置红帽构建的 Keycloak 作为一个通过 TLS 的客户端到外部服务的信任存储,请参阅配置可信证书。
4.4.1. 设置 truststore 密码
您可以使用 https-trust-store-password 选项为信任存储设置安全密码:
bin/kc.[sh|bat] start --https-trust-store-password=<value>
如果没有设置密码,则使用默认 密码。
