ssl - 具有多个 PrivateKeyEntries 的 JKS

Question

我在 Tomcat 和 Java 6 中运行一个基本的网络应用程序。在我的应用程序中，我必须连接到两个不同的远程系统，每个系统都需要一个唯一的客户端证书。一年多以前，团队中有人能够将两个 PFX 文件导入到一个 JKS 文件中，并且我们可以成功地与远程系统通信。不幸的是，创建此 JKS 文件的团队成员已不在，并且两个证书都已过期。

当我尝试重新创建组合的 JKS 文件时，无论我们连接到哪个系统，都只使用了 1 个证书。这显然导致其中一个连接失败。这是 keystore 条目的列表

comodo-root, Jul 18, 2012, trustedCertEntry,
Certificate fingerprint (MD5): 1D:35:54:04:85:78:B0:3F:42:42:4D:BF:20:73:0A:3F
comodo-intermediate, Jul 18, 2012, trustedCertEntry,
Certificate fingerprint (MD5): 2B:EE:B7:93:D7:C5:DD:65:E3:16:E9:98:EF:85:9B:F7
le-2f6efe10-57f8-4224-ba41-59940bd5422a, May 20, 2014, PrivateKeyEntry, 
Certificate fingerprint (MD5): 75:1C:60:72:4A:23:33:19:26:15:7F:27:8B:C6:65:A6
aa, May 20, 2014, PrivateKeyEntry, 
Certificate fingerprint (MD5): D2:D8:73:DA:FD:A0:09:42:12:27:B0:50:E8:98:4C:48

le-2f6efe10-57f8-4224-ba41-59940bd5422a 和 aa 是我导入的两个客户端证书/存储。

如果我在 JKS 之外使用这两个证书，我已经验证它们独立工作。我还验证了如果我只将一个 PFX 文件导入 JKS，我就能够成功连接到已导入证书的系统。

我在 JVM 启动期间在运行时设置 keystore 属性

 System.setProperty("javax.net.ssl.keyStore", "path to my keystore" );
 System.setProperty("javax.net.ssl.keyStorePassword", "password" );

问题仅在我同时导入了两个 PFX 文件时出现，并且我收到的错误来自远程服务器，表明传递的客户端证书有误。

Answer 1

你没有说你从哪里得到你的私钥，但我怀疑这里发生的事情是因为你的新证书是由同一个 CA 签署的，或者你使用同一个 CA 生成了两个新的 secret 算法，或两者​​。

SSL 的设置方式，如果服务器需要客户端身份验证，它将发送可接受的证书类型列表，可能连同可接受的 CA 列表(很好的概述 here )。然后，您的 Java 客户端应用以下算法:

1. 对于服务器接受的每种证书类型(RSA、DSA、EC)，在 keystore 中找到使用指定算法生成的任何公钥/私钥对
2. 如果服务器发送了可接受的 CA 列表，则删除其证书链中不包含任何首选 CA 的任何 key 对
3. 如果至少还剩下一对 key ，则选择第一对对应的私钥；否则返回步骤 1 以获取下一个 key 类型。

因此，例如，假设您希望连接到 2 台服务器，其中一台要求提供由 VeriSign 签名的 DSA、RSA 或 EC key ，另一台要求提供 RSA 或 DSA key ，没有首选 CA。 (您可以通过将 -Djavax.net.debug=ssl:handshake 传递给您的客户端并查找以 *** CertificateRequest 开头的行来找出证书请求的内容)

如果您的 keystore 包含两个使用 DSA key 算法生成并由 VeriSign 签名的 key 对，那么在这两种情况下您都会遇到歧义。如果您有一个由 VeriSign 签名的 DSA key 对，一个由 Go Daddy 签名的 DSA key 对和一个由您的内部 CA 签名的 RSA key 对，那么在任何一种情况下都不会出现歧义。

具体在您的情况下，您最好的前进方式可能是检查您的旧证书链，看看谁签署了它们以及它们是什么类型，并确保您的新证书集与旧证书匹配。或者您可能不得不硬着头皮编写一些代码，以确保您始终使用每次只包含一个 key 的 key 存储，如链接问题中所示。