java - SSL 未找到合适的证书

Question

我知道这是常见错误，并且这个问题有很多重复项。尽管它们是我无法真正找到真正的原因并解决我的问题，所以让我们开始吧。

我正在使用 Kafka，在我的信任库的服务器端我有 4 个链。每条链代表一个证书颁发机构。每个链也作为 bundle 导入(中间+根证书)。当然，每个经纪人都有自己的 keystore ，并由 CA-1 签名。

我的客户端拥有由 CA-3 签名的证书。在我的客户的信任库中，我可以列出与我的经纪人相同的链。

示例:

1. 客户端尝试进行身份验证并拥有由 CA-1 签名的证书(有效)
2. 客户端尝试进行身份验证并拥有由 CA-2 签名的证书(有效)
3. 客户端尝试进行身份验证并拥有由 CA-3 签名的证书(不起作用)

在客户端的 Debug模式下我可以找到这个:

check handshake state: unknown[13]
*** CertificateRequest
Cert Types: RSA, DSS, ECDSA
Supported Signature Algorithms: SHA512withECDSA, SHA512withRSA, SHA384withECDSA, SHA384withRSA, SHA256withECDSA, SHA256withRSA, SHA256withDSA, SHA224withECDSA, SHA224withRSA, SHA224withDSA, SHA1withECDSA, SHA1withRSA, SHA1withDSA
Cert Authorities:
<CN=CA-1>
<CN=CA-2>
<CN=CA-3>
.
.
.
*** ServerHelloDone
[read] MD5 and SHA1 hashes:  len = 4
0000: 0E 00 00 00                                        ....
Warning: no suitable certificate found - continuing without client authentication
*** Certificate chain
<Empty>
*** 
.
.
.
kafka-producer-network-thread | console-producer, READ: TLSv1.2 Handshake, length = 3018
check handshake state: server_hello[2]
kafka-producer-network-thread | console-producer, fatal error: 10: Handshake message sequence violation, 2
javax.net.ssl.SSLProtocolException: Handshake message sequence violation, 2
%% Invalidated:  [Session-4, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384]
kafka-producer-network-thread | console-producer, SEND TLSv1.2 ALERT:  fatal, description = unexpected_message
Padded plaintext before ENCRYPTION:  len = 80

现在，我不明白什么。应用程序能够找到代理的可信证书(在开头我不想放日志)，能够在CertificateRequest中找出所有可用的CA，但它仍然无法进行握手。

可以肯定的是 - 我获得失败客户端的 Interm + 根证书的方式是我下载了中间证书并从 Interm 中提取了根证书。制作了一个 bundle ，其中 interm 为第一个，root 为第二个，我将该 bundle 放在信任库和 keystore 中的一个别名下。

我知道这很可能是服务器信任错误，但我不知道如何纠正这个问题，因为证书确实存在，并且我以与其他正在运行的其他人相同的方式导入了这些证书包。

如果我做错了什么，请纠正我，如果我做错了什么，请更好。我是 SSL 点头并且想学习一些东西..谢谢!

Answer 1

我的情况下的问题，我认为在堆栈上的很多情况下是:

• 我的客户端 keystore 中没有 privKeyEntry

所以如果我愿意:

$ keytool -list -keystore client.keystore.jks  

我会找到这个:

primaryca, Jul 26, 2014, trustedCertEntry,
Certificate fingerprint (SHA1): <snip>
client, Jul 26, 2014, trustedCertEntry,
Certificate fingerprint (SHA1):  <snip>

如您所见，客户端证书的 keystore 中没有 PrivateKeyEntry。

所以我从头开始。

# Creating client keystore
$ openssl pkcs12 -export -in client_certificate.crt -inkey client_certificate.key -certfile client_certificate.crt -out client.p12
$ keytool -importkeystore -srckeystore client.p12 -srcstoretype pkcs12 -destkeystore client.keystore.jks -deststoretype JKS

# add bundle (interm + root)
$ keytool -keystore client.keystore.jks -alias CArootbundle -import -file bundle.pem

现在，列出 keystore 后:

CArootbundle, Jul 26, 2014, trustedCertEntry,
Certificate fingerprint (SHA1): <snip>
1, Jul 26, 2014, PrivateKeyEntry,
Certificate fingerprint (SHA1):  <snip>

在我使用新创建的 keystore 启动我的应用程序后，一切都开始工作:)

希望我能帮助别人!

干杯