ssl - keytool 是如何工作的 : privateKeyEntry and trustedCertEntry?

Question

好的，首先我会说一下我对 SSL 工作原理的了解。
最重要的是，我需要了解客户端证书的工作原理，因为我正在设置 mTls istio 网关并且遇到了麻烦。
所以，首先我需要 key 对，私有(private)的和公共(public)的。如果我理解正确，我接下来使用以下命令创建它们:

keytool -genkey -alias myKeyPair -keyalg RSA -keysize 2048 store.jks

如果我查看 keystore ，就会有一个 PrivateKeyEntry。接下来我创建证书请求:

keytool -certreq -keyalg RSA -alias myKeyPair -file request.csr -keystore store.jks

过了一会儿，我收到了一个签名的客户端证书 client.cer和证书受信任的 CA ca.cer .
现在有几个问题:
首先，我尝试从 curl 发送请求。但是 curl 需要存储在 jks 中的私钥。我没有openssl并且无法获取它，所以我使用java代码提取私钥。但结果总是一样的: istio gateway: peer did not return a certificate其次，我尝试使用 java.net.http.HttpClient与 SSLContext包含我的 jks 的设置。它奏效了。但首先我必须把 ca.cer和 client.cer在我的 jks 中。这我无法理解:为什么我需要把 ca.cer ?因为没有 ca.cer存储在 store.jks我有错误的证书验证。
此外，当我将 client.cer 放入 jks 时，keytool 会显示警告: Certificate already exists in keystore under alias <myKeyPair>. Do you still want to add it?为什么它认为 privateKeyEntry 和trustedCertEntry 是一样的？

Answer 1

Meta:由于问题的模糊性，答案很差，但评论太长了。

First, i tried to send request from curl. But curl needs private key which stored in jks. I dont have openssl and cant get it, so i extract private key using java code. But the result was always the same: istio gateway: peer did not return a certificate

您的“提取物”是错误的，或者您将其提供给 curl 的方式是错误的，或者两者兼而有之，而您都没有描述。首先，需要明确的是，就像任何客户端进行客户端身份验证一样，curl 实际上需要私钥和证书，通常还需要任何适用的链证书。您必须使用什么文件格式，以及是单个组合文件还是单独文件(添加:) 还是根本没有，取决于您使用的 curl 构建: curl supports seven SSL/TLS implementations ，并且提供客户端 key 和证书的方式因它们而异。使用 curl -V (大写)查看它是如何构建的，然后查看手册页的部分，在您的系统上或 on the web ，适用于该实现。

Second, I tried using java.net.http.HttpClient with SSLContext setting containing my jks. And it worked. But firstly I had to put ca.cer and client.cer in my jks. And this I cannot understand: why do I need to put ca.cer? Because without ca.cer stored in store.jks i have error certificate validation.

可能它是“链”或中间 CA 证书。标准要求 SSL/TLS 客户端(如服务器)发送将最终实体(客户端或服务器)证书连接​​到接收者信任库中的“根”所需的任何链证书。 (从 RFC5280 开始，并由 RFC8446 确认，实际上可以使用不是根的 anchor ，但很少这样做。)甚至可能是链证书和根(或 anchor )的组合)。 (一些依赖者有时仍然可以构建链来验证未正确发送的证书；浏览器尤其倾向于这样做，但大多数服务器不会。)
看看它，看看。如果它是 PEM 格式，您可以通过任何文本显示或编辑程序看到它包含多少证书。如果是单个证书，您可以使用 keytool -printcert -file $file 显示详细信息-- 或者因为你已经导入了它， keytool -list -v -alias name -keystore $ks [-storepass $pw] .如果它是 PEM 格式的多个证书，您可以使用编辑器将其拆分并单独显示每个证书。如果是 DER 格式的多个证书，您将无法轻松处理，但幸运的是，这种格式很少使用。 openssl x509 [-inform pem|der] -text -noout也常用来显示cert文件的详细信息，但是你说不能用。

Also when I put client.cer in jks, keytool displays a warning: Certificate already exists in keystore under alias . Do you still want to add it? Why does it think privateKeyEntry and trustedCertEntry are the same?

如果您只执行了一次并且正确，则不应该这样做。给定单独的证书
文件，你应该 keytool -importcert客户端证书到您创建的私钥条目的别名，用于创建 -certreq ，在您的示例中为 myKeyPair , 在你之后 keytool -importcert任何需要的链证书，以及可选的根或 anchor ，(每个)到不同的别名。 (使用 root 、 imed 、 imed2 等简单词作为别名通常很方便，但不是必需的。)或者，如果您将整个链作为单个文件，则可以是 PEM 序列或 DER序列或“p7b”(一个没有数据和签名的虚拟 PKCS7 SignedData，通常用作一个或多个证书的容器，例如链)PEM 或 DER，您应该在单个操作中导入该链。