第 4 章 Red Hat build of OpenJDK 功能

请参阅以下发行注记以了解红帽构建 OpenJDK 11.0.28 的新功能和功能增强：

修复了 PKCS11 机制中有问题的 SunPKCS11 供应商检查的问题

在 OpenJDK 14 中，SunPKCS11 供应商引入了 传统机制 的概念，之后会将其反向移植到红帽构建的 OpenJDK 11 中。如果发现某个机制使用弱算法，则这种机制被视为旧机制，随后被禁用。

但是，这种方法在早期版本中不灵活。例如，您无法覆盖旧的确定来启用禁用的机制。另外，即使未使用加密，使用签名的机制也会被视为旧的，因此如果有弱加密算法，则禁用它。同样，弱签名算法阻止使用机制作为加密或解密的密码。

红帽构建的 OpenJDK 11.0.28 通过为 PKCS11 供应商引入一个新的 allowLegacy 配置属性来解决这些问题。您可以通过将 allowLegacy 属性设置为 true 来覆盖旧的确定。此属性默认设置为 false。从这个版本以后，传统的确定还通过只检查加密算法来考虑服务类型，并且只检查签名中的签名算法。

请参阅 JDK-8293345 (JDK Bug System)。

添加了 Sectigo CS 和 TLS 根证书

在 OpenJDK 11.0.28 中，cacerts truststore 包括四个 Sectigo root 证书，包括两个代码签名(CS)证书和两个 TLS 证书：

请参阅 JDK-8359170 (JDK Bug System)。