个人中心
gpt4 book ai didi

java - 客户端证书丢失 : How to recover it

转载 作者:太空宇宙 更新时间:2023-11-03 13:20:28 24 4
gpt4 key购买 nike

我所在的团队正在尝试使用证书将 Java J2SE 应用程序连接到安全的企业 Web 服务站点。团队成员之前都没有为此类连接创建证书和编码的经验。

我们准备并提交了 CSR,并从网络服务站点收到了 .p7b 证书。 .p7b 包含两个证书:一个由 Web 服务站点颁发给我们,另一个由公司所有者自己的 CA 颁发给 Web 服务站点。两者都出现在下面的 keystore 列表中。 keystore 在自定义 SSLContext 中被引用,Java 代码使用该 SSLContext 创建一个 Apache HttpClient,没有错误。

当 Java 代码尝试执行 HttpGet 时,Web 服务站点拒绝 SSLHandshake 并终止连接并出现错误:

javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake

在握手调试跟踪中,在握手的第 13 步中,消息是:

ServerHelloDone
Warning: no suitable certificate found - continuing without client authentication
Certificate chain
Empty

Keytool 将 keystore 的内容列为:(公司身份已编辑)

Keystore type: PKCS12
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: server
Creation date: Mar 28, 2019
Entry type: PrivateKeyEntry
Certificate chain length: 2
Certificate[1]:
Owner: ...
Issuer: ...
Serial number: ...
Valid from: Mon Mar 11 19:00:00 CDT 2019 until: Wed Mar 11 18:59:59 CDT 2020
Certificate fingerprints:
     SHA1: ...
     SHA256: ...
Signature algorithm name: SHA1withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions: 

#1: ObjectId: 2.16.840.1.113733.1.6.9 Criticality=false
0000: 01 01 FF                                           ...


#2: ObjectId: 2.5.29.19 Criticality=false
BasicConstraints:[
  CA:false
  PathLen: undefined
]

#3: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
  [DistributionPoint:
     [URIName: http://onsite-crl.pki.digicert.com/ATTServicesIncApplicationCertificates/LatestCRL.crl]
]]

#4: ObjectId: 2.5.29.15 Criticality=false
KeyUsage [
  DigitalSignature
  Key_Encipherment
]

#5: ObjectId: 2.16.840.1.113730.1.1 Criticality=false
NetscapeCertType [
   SSL client
]

Certificate[2]:
Owner: ...
Issuer: ...
Serial number: ...
Valid from: Wed Feb 23 18:00:00 CST 2011 until: Tue Feb 23 17:59:59 CST 2021
Certificate fingerprints:
     SHA1: ...
     SHA256: ...
Signature algorithm name: SHA1withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions: 

#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 97 20 99 C2 73 2A 45 EB   E0 02 7F 47 DA 7B AB 7C  . ..s*E....G....
0010: EB 1F AF 6E                                        ...n
]
]

#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:0
]

#3: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
  [DistributionPoint:
     [URIName: http://onsitecrl.verisign.com/offlineca/ATTServicesIncATTServicesIncRootCA.crl]
]]

#4: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#5: ObjectId: 2.5.29.17 Criticality=false
SubjectAlternativeName [
  CN=VeriSignMPKI-2-51
]

#6: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 25 64 37 69 DB DC 57 99   43 80 79 29 90 6C B8 13  %d7i..W.C.y).l..
0010: 58 EE B6 D0                                        X...
]
]



*******************************************
*******************************************

]
}

keystore 似乎包含我们私钥的条目,但不包含客户端证书;仅列出来自 Web 服务站点的 .p7b 的两个证书。

StackOverflow 帖子位于:

why doesn't java send the client certificate during SSL handshake?

建议从 keystore 中导出客户端证书并编辑证书链。这并不能解决问题,显然是因为 keystore 包含我们的私钥而不是我们的签名证书。

我没有标识为客户端证书的工件。 Oracle 过程给出于:

https://docs.oracle.com/cd/E19509-01/820-3503/ggezu/index.html

建议签名的客户端证书应该在准备原始 CSR 的过程中创建(过程的第 3 步),但是我们似乎没有将该证书文件作为单独的工件。

我认为我们需要重建客户端证书并将其导入到 keystore 中证书链的适当位置。由于在创建 CSR 时我们似乎没有创建原始文件,现在是否可以从头开始重新创建客户端证书(Oracle 过程的第 3 - 5 步)并编辑回链中?有没有办法从原始 CSR 中提取或重构客户端证书?

非常感谢任何问题、见解或建议。谢谢。

最佳答案

It appears that the keystore includes an entry for our private key but not a client certificate; only the two certificates from the .p7b from the web services site are listed.

您显示的由 keytool 列出的 PrivateKeyEntry 确实包含一个客户端证书(由 BC、KU 和 NCT)和一个 CA 证书,该证书可能是该客户端证书的颁发(父)证书。 (如果您使用 keytool 将这些证书导入此 keystore ,则 CA 证书肯定是颁发者,因为 keytool 会验证这一点;如果您使用其他工具,它应该执行相同的要求,但可能不会。)您描述p7b 包含“公司所有者自己的 CA 发布的 Web 服务站点的第二个”,但 (1) 如果是这种情况,keytool 不会将其作为同一链的一部分导入,并且 (2) 它没有意义,因为客户端在其 keystore 信任库中不需要 CA 颁发的(即非自签名)服务器证书,在其信任库中只需要服务器的 CA 证书,并且作为一个单独的条目不在客户端的 PrivateKeyEntry 中,即使它是一个共享文件也是如此。

根据您的描述,您得到了一个 javax.net.debug=ssl 跟踪,因此请查看该跟踪的加载 keystore 的部分,并确保此条目 正在加载,并查看服务器在 Cert Authorities 下的 *** CertificateRequest 以查看它要求的 CA(立即之前 *** ServerHelloDone) 并将其(那些)与 keystore 中链的实际 CA 进行比较(未编辑)。由于您使用的是 Apache HttpClient,因此如果您使用的是指定 PrivateKeyStrategy 的重载之一,请确保它正确选择了别名。

关于java - 客户端证书丢失 : How to recover it,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55442135/

24 4 0
文章推荐: ssl - 是否可以识别 TLS 信息。在请求响应中?
文章推荐: javascript - 为什么我的 Android 设备无法播放通过 XHR 作为 Blob 加载的 HTML5 视频?
文章推荐: java - Android NFC 扫描仪问题
文章推荐: Apache 代理通行证 : Page not refreshing automatically after SSL installed
太空宇宙
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com