JDBC SSL：将CA证书、客户端证书和客户端捆绑到单个密钥库文件中

谷歌云SQL通过为您生成服务器卡证书，客户端证书pem和客户端密钥来支持SSL连接。我通过以下步骤设法让我的Java客户端连接到云SQL：

1)将服务器CA证书导入信任库文件:

keytool -import -alias mysqlServerCACert -file ca-cert.pem -keystore truststore

2） 将客户端证书和客户端密钥捆绑到pkcs12文件中：

openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -out client.p12 -name clientalias -CAfile ca-cert.pem

3）将pkcs12导入密钥库文件：

keytool -importkeystore -deststorepass keystore -destkeystore keystore -srckeystore client.p12 -srcstoretype PKCS12 -srcstorepass keystore -alias clientalias

4）告诉JVM使用我的信任库和密钥库：

-Djavax.net.ssl.keyStore=/path/to/my/keystore \
-Djavax.net.ssl.keyStorePassword=keystore \
-Djavax.net.ssl.trustStore=/path/to/my/truststore \
-Djavax.net.ssl.trustStorePassword=truststore

这一切都有效，但不幸的是，它排除了来自其他客户端库的出站HTTPS连接——在我的例子中，是Firebase java客户端库。问题是我的-Djavax.net.ssl.trustStore参数覆盖了与JDK捆绑的默认cacerts文件。

我似乎有两个选择。一个不理想的选择是，在每台生产和开发机器上，使用特定于操作系统和特定于JDK版本的命令，将我的服务器CA证书导入到JDK的< code>cacerts文件中。对于真正的生产设置来说，这个选项似乎很笨拙。

另一个选项是将我的服务器CA证书和客户端证书绑定到一个（本地）信任链中，然后Java将使用该信任链验证我的客户端密钥。据我所知，我很肯定这是可能的，但我不知道需要什么咒语。

我的猜测是，我应该使用一个< code>openssl命令来创建一个pkcs12包，以正确的顺序包含我的服务器CA证书、客户端证书和客户端密钥，然后使用< code>keytool将其导入到一个新的密钥库中。我将省略< code>-D.../trustStore JVM参数，并且仅指定密钥库参数。Java将对我的云SQL客户端密钥使用本地CA信任链，但对于所有其他SSL协商，将退回到全局< code>cacerts文件。

这可能吗？如果不能作为单个pkcs12直接实现，那么是否有其他一些步骤可以将它们全部放入单个密钥库中，而不需要信任库？