Java - 使用客户端证书身份验证时取消 SSL 流

Question

我想不通这个。

我有一个单元测试使用客户端证书身份验证执行与我的服务的连接。

// generate a valid client cert and store it in a keystore
String keystorePassword = "xxx";
InputStream pkcs12 = UnitTests.generatePkcs12ForUser(user, keystorePassword, 3600);
KeyStore ks = KeyStore.getInstance("pkcs12");
ks.load(pkcs12, keystorePassword.toCharArray());


String url = getBaseServerUrl();

// prepare a ssl context that has the keystore with client cert and key
SSLContext sslContext = SSLContexts.custom()
                                   .loadKeyMaterial(ks, keystorePassword.toCharArray())
                                   // trust all SSL certs
                                   .loadTrustMaterial((X509Certificate[] chain, String authType) -> true)
                                   .build();

// validate any hostname, and don't follow 3XX responses
HttpClient httpClient = HttpClients.custom()
                                   .setSSLContext(sslContext)
                                   .setSSLHostnameVerifier((a,b) -> true)
                                   .disableRedirectHandling()
                                   .build();

// this fails catastrophically
HttpResponse response = httpClient.execute(new HttpGet(url));

我使用的是 Java 8，我的服务器位于使用 Nginx 的反向代理后面。

我的单元测试失败，出现如下异常:

javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake

    at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1002)
    at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1385)
    at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1413)
[...]
Caused by: java.io.EOFException: SSL peer shut down incorrectly
    at sun.security.ssl.InputRecord.read(InputRecord.java:505)
    at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:983)
    ... 43 more

我可以在 Nginx error.log 中看到以下行:

2018/05/18 15:34:12 [crit] 42#42: *327 SSL_do_handshake() failed (SSL: error:0D0680A8:asn1 encoding routines:asn1_check_tlen:wrong tag error:0D08303A:asn1 encoding routines:asn1_template_noexp_d2i:nested asn1 error) while SSL handshaking, client: 172.18.0.1, server: 0.0.0.0:443

我已经搜索了互联网以查找此错误的原因，我觉得我已经用尽了所有资源。

我尝试过的事情的非详尽列表:

• 强制 java 使用 TlsV1.1 -Dhttps.protocols=Tlsv1.1 -> 仍然失败
• 试图为 loadTrustMaterial 指定“关键策略”始终使用我自己的 key -> 仍然失败
• 使用具有相同 Ssl/Keystore 参数集的 Jersey 客户端 -> 仍然失败
• 尝试了 1.8 的所有 JDK 版本:OpenJDK、Oracle 和 Oracle with Crypto Extensions (JCE)
• 搜索 nginx 错误似乎暗示传递的证书不正确，所以我...
• ...在调试器和 curl 中将 key 和证书转储到几个 PEM 文件中编辑了相同的地址 -> 它有效？!
• Wireshark 连接并检查 TLS 协商。将其与工作示例(上面的简单 curl -k <url> 完美运行)进行比较:
  • 看到了关于 ALPN 的信息但在 Java 中启用它并不能解决异常。
  • 看到公布了不同的加密算法，但没有什么突出的

你们有什么想法吗？我开始发疯了。我有一种预感，我没有正确设置我的连接，但我看不到哪里。

Answer 1

对于那些没有阅读评论的人:我想通了:我使用 subjectAltName 来存储不是替代名称的东西。

Java 似乎对此不满意并拒绝连接。