堆棧內存溢出
  簡體   English   中英

我的 SSL 客戶端 (Java) 未通過雙向 SSL 握手將證書發送回服務器

[英]My SSL client (Java) isn't sending a certificate back to the server in two-way SSL handshake

 原文  2012-07-31 16:00:12       java/ ssl/ ssl-certificate/ keystore/ two-way

問題描述

在 Windows 7 上運行的 Java 1.7 應用程序中,我正在嘗試使用服務器執行 2 向 SSL(智能卡令牌通過 openSC 提供我的客戶端證書)。 服務器的證書得到客戶端的驗證就好了,但客戶端不響應服務器的證書請求。 我相信這是因為客戶端無法從我的證書到服務器請求的證書之一建立鏈(即使存在這樣的鏈)。

這是服務器證書請求和客戶端空響應的 SSL 調試:

*** CertificateRequest
Cert Types: RSA, DSS, ECDSA
Cert Authorities:
<CN=c4isuite-SDNI-DC02-CA, DC=c4isuite, DC=local>
<CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US>
    ...
*** ServerHelloDone
*** Certificate chain
***

我的客戶證書如下:

found key for : Certificate for PIV Authentication
chain [0] = [
[
  Version: V3
  Subject: CN=<...>, OU=CONTRACTOR, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5

  Key:  Sun RSA public key, 2048 bits

  Issuer: CN=DOD CA-30, OU=PKI, OU=DoD, O=U.S. Government, C=US
  SerialNumber: [    05bf13]

通過密鑰工具,我還安裝在信任庫(java cacerts 文件)中,我的證書頒發者 DOD CA-30 與服務器請求的內容之間的鏈接應該是什么,DoD Root CA 2。

從 SSL 調試:

adding as trusted cert:
  Subject: CN=DOD CA-30, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Issuer:  CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Algorithm: RSA; Serial number: 0x1b5
  Valid from Thu Sep 08 10:59:24 CDT 2011 until Fri Sep 08 10:59:24 CDT 2017

adding as trusted cert:
  Subject: CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Issuer:  CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Algorithm: RSA; Serial number: 0x5
  Valid from Mon Dec 13 09:00:10 CST 2004 until Wed Dec 05 09:00:10 CST 2029

那么問題來了,為什么客戶端不能為響應制作證書鏈呢? 這是相關的代碼:

    // Create the keyStore from the SmartCard certs
    Provider provider = new sun.security.pkcs11.SunPKCS11(configName);

    Security.addProvider(provider);
    keyStore = KeyStore.getInstance("PKCS11", "SunPKCS11-SCR3310test");
    char[] pin = PIN.toCharArray();
    keyStore.load(null, pin);

        // Init the trustmanager
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(trustStore);

        // Create the client key manager
        LOG.info("Installing keystore with pin");
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("SunX509");
        keyManagerFactory.init(clientKeyStore, clientKeyPassword.toCharArray());        
        
        sslContext.init(keyManagerFactory.getKeyManagers(), tmf.getTrustManagers(), null);

        // Init SSL context
        SSLSocketFactory socketFactory = sslContext.getSocketFactory();
        

        URL url = new URL(urlString);
        URLConnection connection = url.openConnection();
        if (connection instanceof HttpsURLConnection) {
            LOG.info("Connection is HTTPS");
            ((HttpsURLConnection) connection).setSSLSocketFactory(socketFactory);
        }
        
        // Send the request.
        connection.connect();

        InputStreamReader in = new InputStreamReader((InputStream) connection.getContent());
        ...

我得到的錯誤是服務器返回 403。很可能是因為客戶端沒有向它發送客戶端證書。

2 個解決方案

解決方案1
 3  2012-07-31 16:26:46

即使看起來您只是將服務器發送的 CA 列表的一部分復制到這個問題中,我還是假設CN=DOD CA-30, OU=PKI, OU=DoD, O=US Government, C=US不在此列表中。

鏈中似乎缺少的是此證書(您稍后會提到):

  Subject: CN=DOD CA-30, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Issuer:  CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Algorithm: RSA; Serial number: 0x1b5
  Valid from Thu Sep 08 10:59:24 CDT 2011 until Fri Sep 08 10:59:24 CDT 2017

將證書導入客戶端的信任庫對客戶端發送的證書絕對沒有影響。 客戶端證書(及其私鑰)需要在客戶端密鑰庫中設置 此外,如果您想發送客戶端證書鏈(如果服務器未在其列表中提供此中間 CA 證書,則此處是必需的),您需要將完整鏈與該證書條目相關聯。 將其他證書放入密鑰庫是不夠的。

要解決此問題,您應該使用客戶端證書鏈配置您的密鑰庫條目。 這可以按照這個答案中的描述來完成。 但是,這是一個通過 PKCS#11 訪問的硬件令牌這一事實可能會使這變得更加復雜(也許該卡提供了另一個證書管理工具,可能獨立於 Java)。

解決方案2
 3  2012-08-01 15:39:37

由於我知道我需要使用哪個證書來對服務器進行身份驗證,因此我可以通過擴展 X509ExtendedKeyManager 並覆蓋chooseClientAlias() 方法來強制客戶端發送該特定證書以始終返回該證書的別名。 代碼:

public class MyX509KeyManager extends X509ExtendedKeyManager
  {
    X509KeyManager defaultKeyManager;

    public MyX509KeyManager(X509KeyManager inKeyManager) {
        defaultKeyManager = inKeyManager;
    }

    public String chooseEngineClientAlias(String[] keyType,
            Principal[] issuers, SSLEngine engine) {
        return "<Alias of my cert>";
    }

    @Override
    public String chooseClientAlias(String[] strings, Principal[] prncpls, Socket socket) {
        return "<Alias of my cert>";
    }

    @Override
    public String[] getClientAliases(String string, Principal[] prncpls) {
        return defaultKeyManager.getClientAliases(string, prncpls);
    }

    @Override
    public String[] getServerAliases(String string, Principal[] prncpls) {
        return defaultKeyManager.getServerAliases(string, prncpls);
    }

    ...

正如你所看到的,我采用了一個 defaultKeyManager,除了我想要覆蓋的內容之外,我對任何事情都遵循它。 然后,要在您的 sslContext 中使用它,請執行以下操作:

// clientKeyStore is initialized elsewhere from the SmartCard
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("SunX509");
keyManagerFactory.init(clientKeyStore, clientKeyPassword.toCharArray());

MyX509KeyManager customKeyManager = new MyX509KeyManager((X509KeyManager) keyManagerFactory.getKeyManagers()[0]);
sslContext.init(new KeyManager[] {customKeyManager}, tmf.getTrustManagers(), null);

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 SSL客戶端(Java)不在兩次SSL握手中將證書發送回服務器 使用雙向身份驗證連接到服務器時 Java 測試客戶端中的 SSL Handshake_failure 為什么java在SSL握手期間不發送客戶端證書? Java SSL握手失敗-沒有客戶端證書 如何以兩種方式通過SSL握手判斷服務器或客戶端身份驗證是否失敗 雙向SSL下的Java小程序 Java客戶端上的SSL握手 Java客戶端無法與服務器建立SSL握手 Java Jersey不發送ssl客戶端證書 需要使用雙向SSL安全Web服務的Java客戶端Destop App的示例
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM