3.3. 信任 Anchor 证书
在 FIPS 模式中,红帽构建的 OpenJDK 21 默认使用全局信任 Anchor 证书存储库。这个行为等同于非FIPS 模式。此软件仓库位于 /etc/pki/java/cacerts
。使用 RHEL 中的 update-ca-trust
工具来一致管理证书。另外,您还可以将 Trust Anchor 证书存储在您自己的 PKCS12
和 PKCS11
密钥存储中,并使用它们进行 TLS 通信。如需更多信息,请参阅 TrustManagerFactory::init
文档。
当未设置 javax.net.ssl.trustStoreType
系统属性并且启用了 FIPS 模式时,红帽构建的 OpenJDK 21 会自动将此系统属性设置为 keystore.type
安全属性值。这个行为等同于非FIPS 模式。