尝试实现客户端 key 身份验证(使用自签名 ca)。
代码如下:
KeyStore keyStore = KeyStore.getInstance("PKCS12");
keyStore.load(new FileInputStream("client.p12"), "changeit".toCharArray())
SSLContext sslcontext = SSLContexts.custom()
.loadTrustMaterial(null, new TrustSelfSignedStrategy()) //DONT DO THAT, IT'S JUST TO SIMPLIFY THIS EXAMPLE. USE REAL TrustStore WITH REAL SERVER CERTIFICATE IMPORTED. DONT TRUST SELF SIGNED
.loadKeyMaterial(keyStore, "changeit".toCharArray())
.build();
socketFactory = new SSLConnectionSocketFactory(
sslcontext,
new String[] {"TLSv1.2", "TLSv1.1"},
null,
new NoopHostnameVerifier()
);
HttpClient httpclient = HttpClients.custom()
.setSSLSocketFactory(socketFactory)
.build();
使用 -Djavax.net.debug=all 我可以看到它正确地选择了我的证书,我看到了签名,我看到了证书请求,还有 ECDHClientKeyExchange 等,一切看起来都很好。
但无论如何,我收到了来自 Nginx 的以下响应(状态为 400):
<head><title>400 The SSL certificate error</title></head>
注意,对于不正确的证书/ key ,nginx 通常会丢弃 session ,而不会在纯文本响应中提供任何详细信息。
此 client.p12 从命令行运行,例如:
$ curl -ivk --cert client.p12:changeit https://192.168.1.1
* Rebuilt URL to: https://192.168.1.1/
* Trying 192.168.1.1...
* Connected to 192.168.1.1 (192.168.1.1) port 443 (#0)
* WARNING: SSL: Certificate type not set, assuming PKCS#12 format.
* Client certificate: client-es.certs.my
* TLS 1.2 connection using TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
* Server certificate: server.certs.my
* Server certificate: ca.my
> GET / HTTP/1.1
> Host: 192.168.1.1
> User-Agent: curl/7.43.0
> Accept: */*
>
< HTTP/1.1 200 OK
所以这个key肯定是有效的。但为什么它不适用于 Java?我在 java ssl 配置中遗漏了什么吗?
最佳答案
问题是我的客户端 key 还包括 key 链中的签名证书。不仅是我的客户端证书(身份验证所需),还有整个证书链(当然没有 key ,只有证书)
它是:
> Root CA cert -> Client CA cert -> Client key + cert
我猜 Java 在这种情况下使用了错误的证书,可能是 CA 或中间证书。
通过仅将客户端的 key 和证书添加到 p12 或 keychain 来修复,没有中间体。
它不应该有-certfile选项(我以前有)。只是客户端 key /证书。正确的导出命令是:
openssl pkcs12 -export \
-in client.crt -inkey client.key \
-out client.p12
然后可以将这个client.p12导入钥匙串(keychain):
keytool -importkeystore \
-deststorepass changeit -destkeystore keystore \
-srckeystore client.p12 -srcstoretype PKCS12 -srcstorepass changeit
并且可以很好地用于自定义身份验证。
关于java - 使用 HttpClient 进行客户端身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35240749/