是否可以使用SSL连接到站点,其中客户端只有根证书,但服务器同时具有根证书和中间证书?
我试图使用HttpUrlConnection与包含我的根的TrustManager连接,我得到通常的握手错误:
javax.net.ssl.SSLHandshakeException:
sun.security.validator.ValidatorException:
Certificate chaining error
at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
at java.lang.reflect.Constructor.newInstance(Constructor.java:513)
at java.net.HttpURLConnection.getResponseCode(HttpURLConnection.java:379)
我知道一般的解决方案是安装中间证书,但我想避免不断获得供应商X的新中间证书。
我熟悉使用接受所有内容的TrustManager,但这不是一个选项。
当服务器具有由根CA(例如Verisign)签名的sub-ca-A签名的证书时,服务器将作为服务器hello的一部分发送所有证书,以便可以验证服务器的证书。
在您的情况下,您只在信任库中拥有根CA.
因此,由于您缺少sub-ca证书,因此无法启动信任验证链。 这不仅是不可能的,能够做到这一点是错误的/不安全的。所以你正在做的是摆脱正确的道路。
所以你只有2个选项。 将服务器的实际证书放在信任库中作为受信任的证书。 将整个链放在信任库中,即中间CA证书和根。
你有什么顾虑?中级证书到期?
是否可以使用SSL连接到站点,其中客户端只有根证书,但服务器同时具有根证书和中间证书?
这不仅是可能的,而且实际上是TLS工作的常用方式:
lib/security/cacerts读取它们。浏览器要么拥有自己的内部列表,要么使用操作系统提供的列表。我知道一般的解决方案是安装中间证书
不,实际上不是,如上所述,服务器应自动发送所有中间证书。
然而:
服务器上一个相当常见的配置错误是不在服务器上安装所有中间证书。在这种情况下,服务器将在连接设置期间发送不完整的证书链。然后客户端将无法构建有效的证书路径,并将中止连接。
一些并发症可能使这个问题难以诊断:
诊断这些问题的有用工具:
openssl s_client -showcerts -connect google.com:443来自section 7.4.2 of RFC 5246的相关报价:
7.4.2。服务器证书
当此消息将被发送时:
只要商定的密钥交换方法使用证书进行身份验证,服务器必须发送证书消息(这包括本文档中定义的除DH_anon之外的所有密钥交换方法)。此消息将始终紧跟在ServerHello消息之后。
这条消息的含义:
此消息将服务器的证书链传送给客户端。
[...]
此消息的结构:
[...]
certificate_list
这是证书的序列(链)。发件人的证书必须在列表中排在第一位。以下每个证书必须直接证明其前面的证书。因为证书验证要求根密钥是独立分发的,所以可以在链中省略指定根证书颁发机构的自签名证书,假设远程端必须已经拥有它以便在任何情况下验证它。
服务器应在Certificate消息中发送整个证书链,包括中间证书。客户端将检查整个链并找到它信任的根证书。所以你所描述的应该是有效的。
当然,有可能(错误)配置服务器不发送整个链 - 在这种情况下,客户端的检查可能会失败。
如this answer中所述:
使用Oracle JRE,您可以使用Java系统属性-Dcom.sun.security.enableAIAcaIssuers=true自动下载中间证书
为此,服务器的证书必须提供中间证书(证书的颁发者)的URI。