个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我在将自签名客户端证书从 Java keystore 导出到 pem 文件时遇到问题。我想让我的 C++ SSL 服务器程序验证这个自签名证书。如果我通过 openssl 创建自签名证书,它就可以工作,即服务器验证证书。如果我使用从 JKS 导出的自签名证书,它不会得到验证并且握手失败。我在服务器上使用以下 SSL 函数进行客户端证书验证。
SSL_CTX_load_verify_locations(*ctx, szloc, NULL)
SSL_CTX_set_verify(*ctx, SSL_VERIFY_PEER, NULL);
SSL_CTX_set_verify_depth( *ctx, 0 );
我打印了两个客户端证书的内容。
有效的证书:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 530171964 (0x1f99c83c)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=OR, L=Salem, O=mahaus, OU=maroom client, CN=lenovo-pc
Validity
Not Before: Feb 27 13:21:37 2015 GMT
Not After : May 28 13:21:37 2015 GMT
Subject: C=US, ST=OR, L=Salem, O=mahaus, OU=maroom client, CN=lenovo-pc
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:d2:65:56:a8:1e:66:7b:70:c9:a2:73:ae:77:58:
cb:bf:bf:0a:62:66:5a:5d:34:3b:22:32:75:82:73:
b6:08:01:e8:0d:ab:d0:03:d8:3b:82:9d:84:2d:d0:
6c:86:82:f9:00:ea:19:57:2c:89:51:7d:6a:b3:f9:
75:4c:a2:57:df:9c:f5:96:bd:ff:f1:8c:4d:1d:17:
f5:b8:95:22:f2:9c:91:92:20:38:9e:b3:99:0a:80:
96:51:35:12:5b:4e:88:43:f0:0b:d5:02:b9:80:00:
1c:9a:af:42:9a:9e:44:e3:d4:c8:04:cd:11:d2:8f:
7f:78:90:58:bd:15:22:e1:d3:54:fd:c9:b0:65:20:
c4:f2:0b:37:62:40:f6:13:ab:ef:ce:c9:8a:1a:9a:
07:95:ad:96:9e:e4:48:a1:fd:32:a0:2a:02:5c:74:
4c:fd:ef:d6:13:af:a2:bb:00:f3:5c:c8:ee:a8:26:
fb:63:a3:50:81:45:88:44:03:dc:99:60:81:52:6b:
c7:51:e2:30:fd:68:90:f1:95:74:f8:72:23:56:3d:
35:16:18:a1:03:e0:87:36:d0:8d:ce:99:19:b0:57:
c7:3d:2a:86:d0:78:91:d8:2c:df:a2:1b:42:34:3b:
d1:cc:6d:96:34:73:b3:1b:31:ce:1b:36:7a:43:38:
45:95
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
EA:E7:82:0D:CA:DD:8A:F6:89:99:04:65:5F:F4:6E:30:91:FE:80:41
Signature Algorithm: sha256WithRSAEncryption
6a:a1:2c:42:57:7b:9c:18:88:e4:98:8d:e3:a8:9b:ca:c9:5f:
9e:5a:c0:23:95:f6:e8:b3:44:0e:70:77:11:52:b2:de:a6:e1:
a9:0a:66:fc:3a:b2:e9:f2:53:14:fa:5e:7b:69:c9:fe:de:64:
4d:40:b3:a3:c7:cb:c7:cd:87:79:0c:2d:f4:f1:8c:54:fa:44:
75:17:16:05:a7:14:d8:60:fd:20:3a:ec:49:9c:27:96:53:8e:
9d:93:24:2d:cb:f2:f9:1c:ee:da:90:75:6b:5f:9e:f4:fd:fc:
60:97:ab:d6:7a:61:89:25:26:a0:15:ed:9e:02:ba:4e:02:50:
83:bc:06:2b:23:6a:74:50:87:2e:17:8d:3f:1f:f0:c9:4f:08:
36:b8:4d:62:53:e6:5a:f5:d3:c2:71:11:58:5d:4f:91:24:32:
c9:ee:33:8a:c3:24:64:e3:80:7b:28:e1:5c:ca:84:02:ef:71:
d0:0a:a0:09:95:82:34:f1:3a:06:19:9e:01:fe:6c:92:a4:a5:
da:d7:05:29:90:3b:26:7a:b9:19:33:7e:be:fc:59:cb:d0:9e:
28:80:57:ed:e4:b6:95:19:31:c7:4b:62:26:16:53:0b:fc:ef:
d9:88:9b:1a:a6:99:d7:4b:73:ad:15:97:c2:6e:12:75:77:d1:
60:5f:bb:41
从 JKS 导出的证书不起作用:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
cd:19:9c:68:d1:c5:ca:c2
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, ST=IL, L=Springfield, O=macompany, OU=yourus, CN=ABC
Validity
Not Before: Feb 27 19:23:33 2015 GMT
Not After : Feb 27 19:23:33 2016 GMT
Subject: C=US, ST=IL, L=Springfield, O=macompany, OU=yourus, CN=ABC
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:db:ef:24:8e:ee:3e:b1:14:18:8e:ba:17:ee:68:
34:d2:ac:98:29:53:97:f0:a4:21:c7:82:4c:10:ab:
97:17:dd:b6:88:ca:63:ad:68:7b:85:ed:94:93:64:
b4:53:f2:d4:ce:2f:9e:a2:3b:87:70:66:20:f3:ad:
30:e1:a0:31:0d:80:dd:c6:38:ed:5d:ec:d7:5c:a2:
89:d6:c6:ad:a1:7d:63:1a:df:5b:8b:6d:c5:94:f1:
fc:58:0e:a1:6f:f5:24:11:ed:be:06:f3:f1:dc:a7:
d3:43:c6:a2:b4:68:e5:20:ba:bd:1b:7c:f8:29:69:
79:f5:69:07:c1:ec:a8:78:dc:65:74:ed:bd:72:b1:
72:36:5b:b7:2a:a7:d3:2b:f2:45:af:64:62:de:e4:
4d:8b:2f:68:f3:24:bd:33:38:dd:17:00:64:e6:c2:
c8:2e:85:36:a2:52:6d:f7:dc:59:70:84:a2:23:7e:
f3:29:d6:ee:1e:07:06:c5:2a:37:3d:b2:05:b4:44:
82:c4:7c:a6:30:a4:90:96:f6:7a:1a:58:3c:e6:11:
ee:17:3d:3c:6c:b5:0d:46:b1:71:78:b5:b1:99:73:
aa:05:aa:a3:9f:10:ed:03:63:ae:30:c8:b2:62:a5:
77:d2:a0:b4:1f:f7:db:ca:bf:02:a2:f6:5a:91:91:
e2:9f
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
D5:FA:5F:9D:75:7A:DB:6F:D5:4B:62:CF:59:6D:BC:B5:AE:63:78:8D
X509v3 Authority Key Identifier:
keyid:D5:FA:5F:9D:75:7A:DB:6F:D5:4B:62:CF:59:6D:BC:B5:AE:63:78:8D
X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: sha1WithRSAEncryption
4f:c4:26:bf:4d:04:09:30:4b:75:31:25:73:48:15:aa:34:7c:
fa:86:b1:63:49:e2:4d:67:5c:9b:de:4a:39:f4:a3:58:fe:f5:
13:bf:ac:b6:81:9f:37:f4:db:c9:80:e8:fe:3b:f4:2a:54:5c:
95:1d:56:9a:1e:10:10:c9:7e:12:05:b6:f6:17:60:1a:b1:8e:
33:49:56:87:9d:ba:7d:56:02:7b:2d:82:81:98:12:a5:b2:b1:
33:db:ef:e5:b0:f3:96:c0:65:0d:6f:a9:5d:e9:81:fc:78:a5:
07:f1:3f:f7:64:0c:13:58:25:ff:b1:73:b7:bf:d3:a2:ac:f3:
d4:c9:e4:ed:1c:92:30:ef:00:d8:e8:ba:a2:69:6a:e0:07:18:
a1:20:e5:e4:fd:1a:c9:91:0e:7b:7b:e7:81:e3:ad:8f:b2:88:
5e:ee:dc:a9:36:e5:75:a4:0d:26:26:2c:f2:8e:99:de:0f:5e:
0b:a6:85:c4:b8:88:ca:43:43:b7:27:23:f0:d6:94:b6:e9:8d:
b2:ad:a1:f4:d5:62:ff:4e:ec:9a:4f:3b:73:a0:32:0c:3a:cb:
dc:3b:7c:26:72:bf:68:39:da:44:eb:95:ef:02:86:f6:be:46:
8d:62:82:d9:59:6d:1a:ce:a8:09:ed:16:fe:e1:12:72:9b:0c:
a6:10:22:47
顺便说一句,此证书已在 C++ 客户端成功加载,这意味着与客户端上的私钥不匹配。
我认为可能与此问题有关的一个区别是导出的证书在 X509v3 extensions 部分下缺少有关 CA 的以下信息:
X509v3 Authority Key Identifier:
keyid:D5:FA:5F:9D:75:7A:DB:6F:D5:4B:62:CF:59:6D:BC:B5:AE:63:78:8D
X509v3 Basic Constraints:
CA:TRUE
这是服务器上的第二次(从 JKS 导出的)证书验证不起作用的原因吗?如果是这样,我将如何导出必要的扩展?如果不是,那还能是什么?
如果有任何帮助,我将不胜感激。谢谢。
最佳答案
您并不总是需要授权 key 标识符 (AKI) 来成功验证 x509 证书。详情在 RFC但我认为自签名证书(包括根 CA)不需要它。此外,您上面列出的两个证书似乎都具有有效的 AKI 值,所以我认为这不是您的问题。如果这些证书是使用 openssl 或 Java keytool 创建的,那么 AKI 值就完全没问题。
我的猜测是您的信任链因未成功验证的证书而中断。您的服务器(C++ 程序)正在从某个地方获取它的信任链 - 在 Java 中,信任链通常来自位于 jre/lib/security/cacerts 的 cacerts 文件。要成功验证,您的自签名证书必须被列为受信任的颁发者。您可以使用 keytool 命令 keytool -import -trustcacerts -alias yourCert -file file.cer 在 Java 中添加受信任的颁发者。我不确定您的 C++ 信任库位于何处或等效命令是什么。
查看您列出的函数调用,它们看起来像是 OpenSSL 函数,因此您的 OpenSSL 信任库必须包含您的自签名证书作为受信任的根 CA。网上好像有各种系统的说明,查一下“OpenSSL trust store”就可以了。
关于java - 从 Java KS 导出的自签名证书不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28785372/
24
4
0
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎与 help center 中定义的范围内的编程无关。 . 关闭 6 年前。 Improv
我们最近构建了一个 Web 生成器应用程序(所见即所得、预先设计的模板、购物车等)。我们一直在寻找 SSL 证书的几个不同选项,甚至是通配符,以寻求解决方案。问题是我们不想每次有客户想要将 SSL 添
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎与 help center 中定义的范围内的编程无关。 . 关闭 6 年前。 Improve
我想这是不可能的,但如果是这样,我想知道为什么。 假设我从附近的官方证书颁发机构之一获得了 example.com 的 SSL 证书。假设我正在运行 a.example.com 和 b.c.d.exa
在我的 java 应用程序中,我有一个带有自签名证书/ key 的 JKS keystore 。我需要加载它们并将它们转换为 BouncyCaSTLe 类型。 我正在使用 java.security.
我不是这方面的专家,但我只是遵循 Android 开发者网站上列出的代码 keytool -genkey -v -keystore orbii.jks-keyalg RSA -keysize 2048
我正在为我的一个应用程序实现推送通知系统,所以我正在关注 this教程并为此生成 SSL 证书。 我的这个应用程序还涉及应用程序和服务器之间的一些数据交换,我希望它受到 SSL 保护,我想知道从 ve
可能这是重复的问题,但我没有从上一个问题中完全清楚,这就是我发布新问题的原因。请看看这个。我会将 Ca 证书放在我的资源文件夹中以验证 ca 认证的证书,服务器中也会有相同的 ca 证书。 我正在创建
首先,我想指出这在 Internet Exporer 11 上运行良好。但出于某种原因,我无法让 FireFox 正常运行! 所以我已经添加了我自己的 rootCA 安全证书,在 Internet E
我有域“www.example.com”的 SSL 证书,我已将此证书安装在运行良好的端口 80 上的 tomcat 服务器中。现在我的要求是在 https 中运行 php 代码,因为我的 Apach
我正在构建一个 oauth 1.0a 服务,它将被 Jira 中的一个小工具使用,它是一个用 C# 编写的 .Net 3.5 应用程序。 Jira 使用 RSA-SHA1 签名方法向此服务发出请求,这
假设用户打开 https://ssl-site.example/link/index.php我用 ProxyPass 配置了我的服务器和 ProxyPassReverse在 Apache 配置中(在
我有一个 tcp 服务器,它使用证书进行 ssl/tls 和许可。对于 ssl/tls,证书存储在 pkcs#12 文件中,我认为该文件将作为安装过程的一部分进行安装。 关于 Rhino 许可,作为安
我开始想第一次在 jmeter 中记录。 我的步骤是: 我在 mac 上安装了 jmeter:brew install jmeter 我创建了新的录音模板 我点击开始按钮。它显示如下图所示的弹出窗口。
通常,我的困惑似乎正在从我在WCF上下文中理解安全性的尝试中消除。在WCF中,似乎可以将证书用于身份验证和加密。基本上,我试图理解: 如何将X509证书用作身份验证令牌? ssl证书通常不公开吗?这是
我正在尝试使用 openssl 库让客户端通过 https 连接到某些服务器。 调用堆栈是这样的: SSL_library_init(); SSL_load_error_strings(); SSL_
我正在阅读 this article其中解释了 iOS/OSX 中的代码签名。 我知道从KeyChain Access utility 我可以看到我的证书,如果展开我的开发者证书,我可以看到有一个私钥
我有一个既在互联网上又在私有(private)网络上的服务器。 我正尝试按照我的经理的要求在内部专用网络上设置 TLS。 该服务可供 Internet 和私有(private)内部网络客户端使用。 外
我在具有不同域扩展名的单个网络服务器中设置了我的站点,例如 https://mybusiness.com https://mybusiness.com.au https://mybusiness.co
我正在开发一个移动应用程序。我是网络开发的新手。 我在 GoDaddy 上有 DNS(比如 app.test.com)并且有一个只有 IP 地址的服务器(比如 31.254.42.73)。我的请求从
我是一名优秀的程序员,十分优秀!