我正在尝试连接到安全的Web服务。
即使我的密钥库和信任库已正确设置,我也遇到握手失败。
经过几天的挫折,无休止的谷歌搜索,并问了周围的所有人,我发现唯一的问题是java选择在握手期间不将客户端证书发送到服务器。
特定:
我的问题:
我确实设法解决了这个问题,但是对此我不是很高兴,所以如果有人可以为我澄清这个问题,我将非常高兴。
您可能已将中间CA证书导入了密钥库,而没有将其与拥有客户端证书及其私钥的条目相关联。您应该可以使用keytool -v -list -keystore store.jks
看到它。如果每个别名条目仅获得一个证书,那么它们就不会在一起。
您需要将证书及其证书链一起导入具有私钥的密钥库别名。
要找出哪个密钥库别名具有私钥,请使用keytool -list -keystore store.jks
(我在这里假设JKS存储类型)。这会告诉你这样的内容:
Your keystore contains 1 entry
myalias, Feb 15, 2012, PrivateKeyEntry,
Certificate fingerprint (MD5): xxxxxxxx
这里,别名为myalias
。如果除此之外还使用-v
,则应该看到Alias Name: myalias
。
如果尚未单独购买,请从密钥库中导出客户端证书:
keytool -exportcert -rfc -file clientcert.pem -keystore store.jks -alias myalias
这应该给您一个PEM文件。
使用文本编辑器(或cat
),准备包含该客户端证书和中间CA证书(如果需要,还可以包括根CA证书本身)的文件(我们将其称为bundle.pem
),以便客户端-证书位于开头,而其颁发者证书位于下方。
这应该看起来像:
-----BEGIN CERTIFICATE-----
MIICajCCAdOgAwIBAgIBAjANBgkqhkiG9w0BAQUFADA7MQswCQYDVQQGEwJVSzEa
....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIICkjCCAfugAwIBAgIJAKm5bDEMxZd7MA0GCSqGSIb3DQEBBQUAMDsxCzAJBgNV
....
-----END CERTIFICATE-----
现在,将此捆绑软件重新导入到您的私钥为:的别名中:
keytool -importcert -keystore store.jks -alias myalias -file bundle.pem
作为此处的补充,您可以使用%> openssl s_client -connect host.example.com:443并查看转储,并检查所有主要证书对客户端是否有效。您正在输出的底部寻找它。验证返回码:0(确定)
如果添加-showcerts,它将转储与主机证书一起发送的钥匙串的所有信息,这就是您加载到钥匙串中的信息。
事情是,当使用由中间人签名的客户端证书时,您需要在托管人中包括中间人,以便Java可以找到它。可以单独发行,也可以与发行根的捆绑发行。