Java SSLSocket:如何发送完整的服务器证书链?

时间:2012-10-08 08:36:20

标签: java ssl certificate

当我在Java 7中创建SSLServerSocket时,服务器正确使用我的服务器证书和密钥。该证书是由ca.ca的子ca发行的。因此,从根证书到服务器证书的完整链具有四个证书。 完整的链存在于密钥库/信任库中。

但是,当客户端连接服务器时,始终只发送服务器证书本身。 这也适用于基于Java的Web服务器,如Jetty。

因为大多数客户端只安装了根ca证书而不是两个sub-ca证书,所以这是一个大问题。

如何强制Java在SSL / TLS握手中发送完整的证书链?

1 个答案:

答案 0 :(得分:4)

密钥库中的密钥条目不仅适用于单个证书,还适用于证书链(请参阅KeyStore.setKeyEntry,其中包含Certificate[] chain参数)。

如果您想要使用特定的链,则需要将其设置为您拥有证书及其私钥的条目中的链。中间证书是否也在同一个密钥库中,在不同的条目中并不重要。

这是让客户端发送完整客户端证书链的一个非常类似的问题。相同的密钥库配置步骤也应该从服务器的角度来看,如this question

中所述