Question

我所在的团队正在尝试使用证书将Java J2SE应用程序连接到安全的公司Web服务站点。没有团队成员具有创建这种连接的证书和编码的经验。

我们准备并提交了CSR，并从网站上获得了.p7b证书。 .p7b包含两个证书：一个是由Web服务站点颁发给我们的证书，第二个是由企业所有者自己的CA颁发给Web服务站点的证书。两者都显示在下面的密钥库列表中。密钥库在自定义SSLContext中引用，并且Java代码使用该SSLContext创建了Apache HttpClient，没有错误。

当Java代码尝试执行HttpGet时，Web服务站点将拒绝SSLHandshake并终止连接，并显示以下错误：

javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake

在握手调试跟踪中，在握手的第13步中是以下消息：

ServerHelloDone
Warning: no suitable certificate found - continuing without client authentication
Certificate chain
Empty

Keytool将密钥库的内容列出为：（已删除公司身份）

Keystore type: PKCS12
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: server
Creation date: Mar 28, 2019
Entry type: PrivateKeyEntry
Certificate chain length: 2
Certificate[1]:
Owner: ...
Issuer: ...
Serial number: ...
Valid from: Mon Mar 11 19:00:00 CDT 2019 until: Wed Mar 11 18:59:59 CDT 2020
Certificate fingerprints:
     SHA1: ...
     SHA256: ...
Signature algorithm name: SHA1withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions: 

#1: ObjectId: 2.16.840.1.113733.1.6.9 Criticality=false
0000: 01 01 FF                                           ...


#2: ObjectId: 2.5.29.19 Criticality=false
BasicConstraints:[
  CA:false
  PathLen: undefined
]

#3: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
  [DistributionPoint:
     [URIName: http://onsite-crl.pki.digicert.com/ATTServicesIncApplicationCertificates/LatestCRL.crl]
]]

#4: ObjectId: 2.5.29.15 Criticality=false
KeyUsage [
  DigitalSignature
  Key_Encipherment
]

#5: ObjectId: 2.16.840.1.113730.1.1 Criticality=false
NetscapeCertType [
   SSL client
]

Certificate[2]:
Owner: ...
Issuer: ...
Serial number: ...
Valid from: Wed Feb 23 18:00:00 CST 2011 until: Tue Feb 23 17:59:59 CST 2021
Certificate fingerprints:
     SHA1: ...
     SHA256: ...
Signature algorithm name: SHA1withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions: 

#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 97 20 99 C2 73 2A 45 EB   E0 02 7F 47 DA 7B AB 7C  . ..s*E....G....
0010: EB 1F AF 6E                                        ...n
]
]

#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:0
]

#3: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
  [DistributionPoint:
     [URIName: http://onsitecrl.verisign.com/offlineca/ATTServicesIncATTServicesIncRootCA.crl]
]]

#4: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#5: ObjectId: 2.5.29.17 Criticality=false
SubjectAlternativeName [
  CN=VeriSignMPKI-2-51
]

#6: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 25 64 37 69 DB DC 57 99   43 80 79 29 90 6C B8 13  %d7i..W.C.y).l..
0010: 58 EE B6 D0                                        X...
]
]



*******************************************
*******************************************

]
}

密钥库似乎包含我们的私钥条目，但没有客户端证书；仅列出了来自Web服务站点.p7b的两个证书。

StackOverflow帖子位于：

why doesn't java send the client certificate during SSL handshake?

建议从密钥库中导出客户机证书并编辑证书链。这显然不能解决问题，这显然是因为密钥库包含我们的私钥而不包含我们的签名证书。

我没有可识别为客户端证书的工件。在以下位置给出的Oracle过程：

https://docs.oracle.com/cd/E19509-01/820-3503/ggezu/index.html

建议应该在准备原始CSR的过程中创建签名的客户端证书（过程的第3步），但是我们似乎没有将该证书文件作为单独的工件。

我认为我们需要重建客户端证书，并将其导入到密钥库中证书链的正确位置。由于创建CSR时似乎没有创建原始文件，因此可以立即从头重新创建客户端证书（Oracle过程的第3-5步）并重新编辑到链中吗？有没有办法从原始CSR中提取或重构客户证书？

非常感谢任何问题，见解或建议。谢谢。

Answer 1

密钥库似乎包含我们的私钥条目，但没有客户端证书；仅列出了来自Web服务站点.p7b的两个证书。

您显示的由keytool 列出的PrivateKeyEntry包含一个客户端证书（由BC，KU和NCT提供），以及一个CA证书，该证书大概是该客户端证书的颁发（父）证书。（如果您使用keytool将这些证书导入此密钥库，则CA证书肯定是颁发者，因为keytool会对此进行验证；如果您使用其他工具，则应该强制执行相同的要求，但可能不会。） p7b包含“由公司所有者自己的CA发行的Web服务站点的第二个”，但（1）如果是这种情况，keytool不会将其作为同一链的一部分导入；（2）毫无意义，因为客户端在其密钥库或信任库中不需要CA颁发的（即非自签名）服务器证书，所以仅在其信任库中服务器的 CA 的证书，并且作为一个单独的条目，即使是共享文件也不在客户端的PrivateKeyEntry中。

根据您的描述，您将获得javax.net.debug=ssl跟踪，因此请查看该跟踪中加载密钥库的部分，并确保该条目已加载，然后查看服务器*** CertificateRequest下的Cert Authorities，以查看其要求的CA（立即在之前 *** ServerHelloDone），并将其与实际的CA相比较。密钥库中的链（未编辑）。由于您使用的是Apache HttpClient，因此，如果使用的是指定了PrivateKeyStrategy的重载之一，请确保其正确选择了别名。

客户端证书丢失：如何恢复

1 个答案: