gpt4 book ai didi

java - 如果客户端在 keystore 中有多个证书,将选择哪个 SSL 证书

转载 作者:太空宇宙 更新时间:2023-11-03 14:23:48 25 4
gpt4 key购买 nike

你能帮我解决以下两个问题吗?

我有一个连接到 FIX 服务器的 FIX 引擎。有一个 FIX 服务器要求客户端在 SSL 握手期间对自身进行身份验证。它还提供了一个 SSL 证书,我需要在 SSL 握手期间将其用作客户端证书。

问题#1:我可以在一个 keystore 中存储多个证书(私钥),稍后我会在我的 FIX 引擎中加载这些证书吗?

问题#2:如果对#1 的回答是肯定的,那么在与服务器建立 SSL 连接时,SSL 上下文将如何在 SSL 握手期间选择客户端证书?

注意 - 我正在考虑这些问题,因为将来可能会有其他服务器也有类似的要求。

最佳答案

Question#1: Can I store multiple certificates (private keys) in a keystore that I will load later in my FIX engine?

就 Java 而言,您绝对可以在一个 keystore 文件或其他存储对象中拥有多个 privateKey 条目,每个条目包含一个私钥加上证书或(通常)链。 (请注意,如果您使用 PKCS12 与其他软件交换,则其他软件可能不支持一个 PKCS12 中的多个条目。如果您使用 PKCS12 只是为了在 Java 中获得更好的安全性,或者为了在 j9+ 中消除警告,这不是问题。)

我不知道您使用的是什么 FIX 引擎,或者它如何处理 TLS-formerly-SSL 的 key 和证书信息(或者实际上它如何处理 TLS)。如果它只是将 keystore 文件(或流)加载为 KeyStore 对象,则适用上述 Java 功能。如果它做其他事情,它能做什么取决于其他事情。

Question#2: If answer to #1 is yes, then how would the SSL context select a client certificate during SSL handshake when it establishes a SSL connection with the server?

在TLS协议(protocol)中,当服务器请求客户端使用证书时,它指定算法约束(通过1.2的叶子 key 算法和/或1.2和1.3中的链签名算法)并且可以指定所需证书的列表权威机构 (CA)(可能已经颁发了链中的任何证书)。

如果您的客户端(FIX 引擎)使用 TLS (JSSE) 的 Java 标准实现及其标准(和默认)“SunX509”KeyManager,它将从 keystore 中选择一个满足上述服务器约束的条目;如果您选择或配置“NewSunX509”或“PKIX”KeyManager,它还会检查为您的 JVM 定义的任何算法约束(例如,自 2017 年左右以来,Oracle JVM 禁止使用基于 MD5 或 SHA1 的签名或小于 1024 的 RSA key 的证书位),并优先考虑证书未过期且没有不适当的 KeyUsage 或 ExtendedKeyUsage 扩展名的条目。在多个可接受或首选条目中,选择是任意的——但是 keystore 实现枚举了它们。大多数服务器支持所有标准(可能和非过时的)算法,通常不能以此来区分。如果服务器接受来自 Digicert、GoDaddy、LetsEncrypt 等“公共(public)”CA 的证书,这些证书也不太可能不同,但如果它使用特定于该服务器或其运营商的 CA(或可能是几个),则此类 CA 名称将通常是唯一的,因此仅为该服务器选择 key 和证书。

如果您的客户端使用自定义 KeyManager——在您的应用程序中显式使用或通过中间件(例如 Apache HttpClient)——它可以做一些不同的事情。它甚至可以选择使用服务器将拒绝的 key 和证书,尽管这通常被认为是无用的。

如果您的客户端使用不同的 TLS 实现,则可以使用标准的 KeyManager 结构,可能带有上述选项,或者可以做任何其他事情。

关于java - 如果客户端在 keystore 中有多个证书,将选择哪个 SSL 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58590849/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com