第 3 章 Red Hat build of OpenJDK 功能

最新的 Red Hat build of OpenJDK 21 发行版本可能包括新功能。另外，最新版本可能会增强、弃用或删除来自以前红帽构建的 OpenJDK 21 版本的功能。

Red Hat build of OpenJDK 的改进

红帽构建的 OpenJDK 21 为最初在以前版本的 OpenJDK 中创建的功能提供了改进。

jarsigner 工具中关于删除的文件条目的警告

在以前的红帽构建的 OpenJDK 版本中，当从签名的 JAR 文件中删除文件时，但文件签名仍然存在，jarsigner 工具不会检测到这种情况。

在 OpenJDK 21.0.7 中，您可以使用 jarsigner -verify 命令检查每个签名是否有匹配的文件条目。如果存在不匹配，这个命令会打印警告信息。要显示任何不匹配条目的名称，请在命令中添加 -verbose 选项。

请参阅 JDK-8309841 (JDK Bug System)。

在 2025 年 4 月 15 日后发布的 TLS 服务器证书的不信任，由 Camerfirma 根 CA 发布

根据 Google、Mozilla、Apple 和 Microsoft 最近宣布的类似计划，红帽构建 OpenJDK 21.0.7 不信任于 2025 年 4 月 15 日之后发布的 TLS 证书，并由 Camerfirma root 证书发布。

Red Hat build of OpenJDK 将继续信任在 2025 年 4 月 15 日发布的证书，直到这些证书过期。

如果服务器的证书链由受影响的证书决定，则任何尝试协商 TLS 会话现在都会失败，但表明信任锚不被信任。例如：

TLS server certificate issued after 2025-04-15 and anchored by a distrusted legacy Camerfirma root CA: CN=Chambers of Commerce Root -
2008, O=AC Camerfirma S.A., SERIALNUMBER=A82743287, L=Madrid (see current address at www.camerfirma.com/address), C=EU

您可以使用以下 keytool 命令检查此更改是否影响 JDK 密钥存储中的证书：

keytool -v -list -alias <your_server_alias> -keystore <your_keystore_filename>

如果此更改会影响链中的任何证书，请更新此证书或联系负责管理证书的机构。

如果要继续使用 Camerfirma root 证书实现的 TLS 服务器证书，您可以通过修改 java.security. properties 系统属性或从 jdk.security.caDistrustPolicies 安全属性中删除 CAMERFIRMA_TLS。

这些限制适用于红帽构建的 OpenJDK 构建的以下 Camerfirma 根证书，其中包括：

请参阅 JDK-8346587 (JDK Bug System)。

修复了 PKCS11 机制中有问题的 SunPKCS11 供应商检查的问题

在 OpenJDK 14 中，SunPKCS11 供应商引入了 传统机制 的概念。如果机制使用弱算法，供应商会决定这种机制是旧的，然后禁用它。

在早期版本中，此行为不灵活。例如，您无法覆盖旧的确定来启用禁用的机制。另外，即使未使用加密，使用签名的机制也会被视为旧的，因此如果有弱加密算法，则禁用它。同样，弱签名算法阻止使用机制作为加密或解密的密码。

红帽构建的 OpenJDK 21.0.7 通过引入 SunPKCS11 供应商的 allowLegacy 配置属性来解决这些问题。您可以通过将 allowLegacy 属性设置为 true 来覆盖旧的确定。此属性默认设置为 false。

从这个版本以后，供应商还会在决定旧状态时考虑服务类型。现在，供应商只检查加密算法，并只检查签名。

请参阅 JDK-8293345 (JDK Bug System)。