在 Windows 7 上运行的 Java 1.7 应用程序中,我正在尝试使用服务器执行双向 SSL(智能卡 token 通过 openSC 提供我的客户端证书)。服务器的证书得到了客户端的验证,但客户端没有响应服务器的证书请求。我相信这是因为客户端无法建立从我的证书到服务器请求的证书之一的链(即使存在这样的链)。
这是服务器证书请求和客户端空响应的 SSL 调试:
*** CertificateRequest
Cert Types: RSA, DSS, ECDSA
Cert Authorities:
<CN=c4isuite-SDNI-DC02-CA, DC=c4isuite, DC=local>
<CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US>
...
*** ServerHelloDone
*** Certificate chain
***
我的客户端证书如下:
found key for : Certificate for PIV Authentication
chain [0] = [
[
Version: V3
Subject: CN=<...>, OU=CONTRACTOR, OU=PKI, OU=DoD, O=U.S. Government, C=US
Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
Key: Sun RSA public key, 2048 bits
Issuer: CN=DOD CA-30, OU=PKI, OU=DoD, O=U.S. Government, C=US
SerialNumber: [ 05bf13]
通过 key 工具,我还在信任库(java cacerts 文件)中安装了我的证书颁发者 DOD CA-30 与服务器请求的内容 DoD Root CA 2 之间的链接。
来自 SSL 调试:
adding as trusted cert:
Subject: CN=DOD CA-30, OU=PKI, OU=DoD, O=U.S. Government, C=US
Issuer: CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US
Algorithm: RSA; Serial number: 0x1b5
Valid from Thu Sep 08 10:59:24 CDT 2011 until Fri Sep 08 10:59:24 CDT 2017
adding as trusted cert:
Subject: CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US
Issuer: CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US
Algorithm: RSA; Serial number: 0x5
Valid from Mon Dec 13 09:00:10 CST 2004 until Wed Dec 05 09:00:10 CST 2029
那么问题来了,为什么客户端不能为响应制作证书链呢?相关代码如下:
// Create the keyStore from the SmartCard certs
Provider provider = new sun.security.pkcs11.SunPKCS11(configName);
Security.addProvider(provider);
keyStore = KeyStore.getInstance("PKCS11", "SunPKCS11-SCR3310test");
char[] pin = PIN.toCharArray();
keyStore.load(null, pin);
// Init the trustmanager
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(trustStore);
// Create the client key manager
LOG.info("Installing keystore with pin");
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("SunX509");
keyManagerFactory.init(clientKeyStore, clientKeyPassword.toCharArray());
sslContext.init(keyManagerFactory.getKeyManagers(), tmf.getTrustManagers(), null);
// Init SSL context
SSLSocketFactory socketFactory = sslContext.getSocketFactory();
URL url = new URL(urlString);
URLConnection connection = url.openConnection();
if (connection instanceof HttpsURLConnection) {
LOG.info("Connection is HTTPS");
((HttpsURLConnection) connection).setSSLSocketFactory(socketFactory);
}
// Send the request.
connection.connect();
InputStreamReader in = new InputStreamReader((InputStream) connection.getContent());
...
我得到的错误是服务器返回 403。很可能是因为客户端没有向它发送客户端证书。
最佳答案
尽管看起来您只是将服务器发送的 CA 列表的一部分复制到这个问题中,但我会假设 CN=DOD CA-30, OU=PKI, OU=DoD, O =美国政府,C=US
不在此列表中。
链中似乎缺少的是这个证书(您稍后会提到):
Subject: CN=DOD CA-30, OU=PKI, OU=DoD, O=U.S. Government, C=US
Issuer: CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US
Algorithm: RSA; Serial number: 0x1b5
Valid from Thu Sep 08 10:59:24 CDT 2011 until Fri Sep 08 10:59:24 CDT 2017
将证书导入客户端的信任库对客户端发送的证书绝对没有影响。客户端证书(及其私钥)需要在客户端 keystore 中设置。此外,如果您想发送客户端证书链(如果服务器未在其列表中提供此中间 CA 证书,则此处需要),您需要将完整链与该证书条目相关联。仅仅将其他证书放入 keystore 是不够的。
要解决此问题,您应该使用客户端证书链配置您的 keystore 条目。这可以按照 this answer 中的描述进行.然而,这是一个通过 PKCS#11 访问的硬件 token 这一事实可能会使这变得有点复杂(也许卡提供了另一个证书管理工具,可能独立于 Java)。
关于java - 我的 SSL 客户端 (Java) 没有通过双向 SSL 握手将证书发送回服务器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11744273/