5.4. trust-manager 属性

您可以通过设置其属性来配置信任管理器 trust-manager。

表 5.4. trust-manager 属性
属性	描述
algorithm	用于创建底层 `TrustManagerFactory` 的算法名称。这是 JDK 提供的。例如，使用 SunJSSE 的 JDK 提供了 `PKIX` 和 `SunX509` 算法。有关 SunJSSE 的详细信息，请参阅 Oracle 文档中的 Java 安全套接字扩展(JSSE)参考指南中的支持类和接口。
alias-filter	应用到从密钥存储返回的别名的过滤器。这可以是以逗号分隔的别名列表，可以返回或以下格式之一： `ALL:-alias1:-alias2` `NONE:+alias1:+alias2`
certificate-revocation-list	在信任管理器中启用证书撤销列表检查。您只能使用此属性定义单个 CRL 路径。要定义多个 CRL 路径，请使用 `certificate-revocation-lists`。`certificate-revocation-list` 的属性是： `maximum-cert-path` - 认证路径中可存在的最大非签发的中间证书。默认值为 `5`。此属性已弃用。在 `trust-manager` 中使用 `maximum-cert-path`。 `path` - 证书撤销列表的路径。 `relative-to` - 证书撤销列表文件的基本路径。
certificate-revocation-lists	使用多个证书撤销列表列表在信任管理器中启用证书撤销列表。`certificate-revocation-list` 的属性是： `path` - 证书撤销列表的路径。 `relative-to` - 证书撤销列表文件的基本路径。
key-store	对用于初始化底层 `TrustManagerFactory` 的 `key-store` 的引用。
maximum-cert-path	认证路径中可存在的最大非签发的中间证书。默认值为 `5`。此属性已从 JBoss EAP 7.3 中的 `trust-manager` 内的 `certificate-revocation-list` 移到 `trust-manager` 中。为了向后兼容，属性也会出现在 `certificate-revocation-list` 中。下一步，使用 `trust-manager` 中的 `maximum-cert-path`。注意在 `trust-manager` 或 `certificate-revocation-list` 中没有定义两者中的 `maximum-cert-path`。
OCSP	在信任管理器中启用在线证书状态协议(OCSP)检查。`ocsp` 的属性是： `responder` - 覆盖从证书解析的 OCSP Responder URI。 `responder-certificate` - 如果未定义 `responder-keystore` 或 `trust-manager` 键存储中的响应器证书的 Alias。 `responder-keystore` - 响应器证书的备用密钥存储。必须定义 `responder-certificate`。 `prefer-crls` - 当同时配置了 OCSP 和 CRL 机制时，会首先调用 OCSP 机制。当 `prefer-crls` 设为 `true` 时，首先调用 CRL 机制。
only-leaf-cert	只检查叶证书的撤销状态。这是一个可选属性。默认值为 `false`。
provider-name	用于创建底层 `TrustManagerFactory` 的供应商名称。
providers	获取创建底层 `TrustManagerFactory` 时要使用的提供程序的引用。

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

© 2024 Red Hat, Inc.