java - 此代码是否支持相互身份验证，如果是，如何触发它？

Question

引用http://java-buddy.blogspot.com/2016/07/java-example-of-ssl-server-and-client.html

因此，我尝试了运行客户端和服务器代码的相同过程，方法是按照上述博客链接中的建议，将 keystore 传递给服务器并为客户端传递信任库。

问题 1> 所以我在服务器上使用了与客户端信任库相同的 keystore ，这是由命令“keytool -genkey -alias signFiles -keystore exampstore 生成的'.这里发生了什么 ？。客户端如何从该示例库(这是服务器的 keystore 但客户端的信任库)文件中选择受信任的 CA，或者更恰本地说， keystore 如何充当信任库以及该文件究竟由什么组成？

所以我知道的是， keystore 具有公钥和私钥对以及证书。对于当前情况，它尚未由 CA 签署证书。

问题 2> 因此，我们需要创建该 .crt 文件并由 CA 对其进行签名，然后再次将其嵌入到 keyStore 中。嵌入crt文件就是导入.这样理解对吗？自签名证书是什么意思？命令 'keytool -genkey -alias signFiles -keystore exampstore'创建自签名证书？

我还尝试为客户端附加 keystore ，为服务器附加信任库，这在运行相应代码时在参数中引用由命令“keytool -genkey -alias signFiles1 -keystore exampstore1”生成的相同文件。代码运行成功。

我还尝试使用参数，例如将服务器的信任库更改为不验证客户端 keystore 的内容。但代码仍然有效。

但是当我尝试更改不验证服务器 keystore 的客户端的信任库时，代码抛出以下异常“javax.net.ssl.SSLHandshakeException:收到致命警报:certificate_unknown”。

主要问题:

问题3>这是否意味着它不触发相互认证，如果是，如何触发？它是否支持相互认证 第一名？

Answer 1

首先，我们要明确几点:

• JKS 文件由条目组成，其中每个条目都是 PrivateKeyEntry 或 trustedCertEntry。 (对称 key 还有其他类型，是的，但是在讨论公钥密码学时让我们忘记它们。)
• 当您运行genkey 时，您将生成一个私钥条目。如您所料，它包含私钥和公钥。
• 您可以仅从私钥条目中导出公钥，然后将其导入另一个JKS，结果是这次是受信任的证书条目，因为它只包含公钥。
• 每个生成的证书最初都是自签名的。仅当使用另一个私钥条目(CA 的)对其进行签名时，它才不是自签名的。受信任的证书条目可以是自签名的或 CA 签名的。不过，根 CA 证书始终是自签名的。
• 使用 JKS 作为信任库意味着您信任其中的条目，无论它们是自签名的还是 CA 签名的。您可以创建自己的 CA，将其公钥导入 JKS 文件并将其用作您的信任库。这意味着您只信任由您的 CA 签署(直接或间接)的证书。 (间接意味着存在由您的 CA 签署并再次用于签署其他证书的中间证书。)

现在回答你的问题，

第一季度

如上所述，使用 keystore 作为信任库意味着“信任其中的条目”，因此它有效。无需由另一方(即 CA)签名。

第二季度

"Embedding the crt file means importing .Is this correct understanding?"

是的。

"Does the command 'keytool -genkey -alias signFiles -keystore examplestore' create a self signed cert ?"

是的。

关于您使用不同的 keystore 和信任库配置进行的试验:在典型的 SSL 设置中，只有服务器拥有私钥并提供其证书。只有客户端验证服务器，反之亦然。如果服务器配置为要求证书(这是可能的)，那么您在浏览 https 站点时必须选择您的私钥。验证客户的情况很少见。这就是为什么向客户端提供 keystore 和向服务器提供信任库都没有效果的原因。仅当您向客户端提供无效的信任库时，它才会失败。

第三季度SSL支持相互认证，是的。检查here一个好的答案。