是否需要为Tomcat的pkcs12证书添加Ca证书

我正在从客户中导入证书和密钥，并为tomcat创建PKCS12证书。tomcat配置为使用此证书作为密钥库。我是否还需要从客户导入CA证书？如果是，为什么？

如果颁发您的证书的CA证书是“根” CA证书（即，它是自签名的），则没关系：如果验证该证书的一方尚未在其信任锚中拥有该证书，则不会有任何事情相信它。

当CA证书是中间CA证书时，通常更有用。在这种情况下，服务器必须显示完整的证书链（根CA除外，根CA出于上述原因是可选的）。由于远程方可能没有这些中间CA证书作为已知的信任锚，但是可能信任发布该中间CA证书的CA证书，因此这使他们更有可能能够建立从其信任锚到证书的信任链。核实。

严格来说，您 不需要 提供完整的链，但是这样做可以使您的证书更有可能被接受。

（这几乎与该问题中的问题相同。此外，您正在谈论的是PKCS＃12存储，因此无论如何，您通常都应该使用正确的“别名”（使用Java术语）导入CA文件。

）

话虽如此，私钥通常应保持私密。如果您尝试实现自己的CA，则可以在浏览器中执行一些机制，而无需在任何地方发送私钥，这将使用户拥有一个PKCS＃12文件作为回报（如果他们选择导出自己的cert+从那里找到钥匙）。