好的,首先我会说一下我对 SSL 工作原理的了解。
最重要的是,我需要了解客户端证书的工作原理,因为我正在设置 mTls istio 网关并且遇到了麻烦。
所以,首先我需要 key 对,私有(private)的和公共(public)的。如果我理解正确,我接下来使用以下命令创建它们:
keytool -genkey -alias myKeyPair -keyalg RSA -keysize 2048 store.jks
keytool -certreq -keyalg RSA -alias myKeyPair -file request.csr -keystore store.jks
client.cer和证书受信任的 CA ca.cer .现在有几个问题:
首先,我尝试从 curl 发送请求。但是 curl 需要存储在 jks 中的私钥。我没有openssl并且无法获取它,所以我使用java代码提取私钥。但结果总是一样的:
istio gateway: peer did not return a certificate其次,我尝试使用 java.net.http.HttpClient与 SSLContext包含我的 jks 的设置。它奏效了。但首先我必须把 ca.cer和 client.cer在我的 jks 中。这我无法理解:为什么我需要把 ca.cer ?因为没有ca.cer存储在 store.jks我有错误的证书验证。此外,当我将 client.cer 放入 jks 时,keytool 会显示警告:
Certificate already exists in keystore under alias <myKeyPair>. Do you still want to add it?为什么它认为 privateKeyEntry 和trustedCertEntry 是一样的?
最佳答案
Meta:由于问题的模糊性,答案很差,但评论太长了。
First, i tried to send request from curl. But curl needs private key which stored in jks. I dont have openssl and cant get it, so i extract private key using java code. But the result was always the same: istio gateway: peer did not return a certificate
您的“提取物”是错误的,或者您将其提供给 curl 的方式是错误的,或者两者兼而有之,而您都没有描述。首先,需要明确的是,就像任何客户端进行客户端身份验证一样,curl 实际上需要私钥和证书,通常还需要任何适用的链证书。您必须使用什么文件格式,以及是单个组合文件还是单独文件(添加:) 还是根本没有,取决于您使用的 curl 构建:curl supports seven SSL/TLS implementations ,并且提供客户端 key 和证书的方式因它们而异。使用
curl -V (大写)查看它是如何构建的,然后查看手册页的部分,在您的系统上或 on the web ,适用于该实现。Second, I tried using java.net.http.HttpClient with SSLContext setting containing my jks. And it worked. But firstly I had to put ca.cer and client.cer in my jks. And this I cannot understand: why do I need to put ca.cer? Because without ca.cer stored in store.jks i have error certificate validation.
可能它是“链”或中间 CA 证书。标准要求 SSL/TLS 客户端(如服务器)发送将最终实体(客户端或服务器)证书连接到接收者信任库中的“根”所需的任何链证书。 (从 RFC5280 开始,并由 RFC8446 确认,实际上可以使用不是根的 anchor ,但很少这样做。)甚至可能是链证书和根(或 anchor )的组合)。 (一些依赖者有时仍然可以构建链来验证未正确发送的证书;浏览器尤其倾向于这样做,但大多数服务器不会。)
看看它,看看。如果它是 PEM 格式,您可以通过任何文本显示或编辑程序看到它包含多少证书。如果是单个证书,您可以使用
keytool -printcert -file $file 显示详细信息-- 或者因为你已经导入了它,keytool -list -v -alias name -keystore $ks [-storepass $pw] .如果它是 PEM 格式的多个证书,您可以使用编辑器将其拆分并单独显示每个证书。如果是 DER 格式的多个证书,您将无法轻松处理,但幸运的是,这种格式很少使用。 openssl x509 [-inform pem|der] -text -noout也常用来显示cert文件的详细信息,但是你说不能用。Also when I put client.cer in jks, keytool displays a warning: Certificate already exists in keystore under alias . Do you still want to add it? Why does it think privateKeyEntry and trustedCertEntry are the same?
如果您只执行了一次并且正确,则不应该这样做。给定单独的证书
文件,你应该
keytool -importcert客户端证书到您创建的私钥条目的别名,用于创建 -certreq ,在您的示例中为 myKeyPair , 在你之后 keytool -importcert任何需要的链证书,以及可选的根或 anchor ,(每个)到不同的别名。 (使用 root 、 imed 、 imed2 等简单词作为别名通常很方便,但不是必需的。)或者,如果您将整个链作为单个文件,则可以是 PEM 序列或 DER序列或“p7b”(一个没有数据和签名的虚拟 PKCS7 SignedData,通常用作一个或多个证书的容器,例如链)PEM 或 DER,您应该在单个操作中导入该链。
关于ssl - keytool 是如何工作的 : privateKeyEntry and trustedCertEntry?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63937585/