当服务器请求不同 CA 签名的客户端证书时，为什么我的 Java SSL 握手失败？

Java SSL 握手中客户端证书遗漏

SSL 握手期间 Java 的行为有时会导致客户端证书遗漏，从而导致握手失败。当服务器请求由某个 CA（在本例中为“RootCA”）签名的客户端证书时，就会出现此问题，而 Java 只能在 Keystore 中找到由下级 CA（“SubCA”）签名的客户端证书。

密钥库配置注意事项：

1. 证书链损坏：将“SubCA”证书导入到密钥库可能会破坏证书链，导致密钥管理器仅识别客户端证书。
2. 证书关联： “SubCA”证书应与包含客户端证书及其密钥库中的私钥的别名相关联。可以使用 keytool -v -list -keystore store.jks 验证此关联。

服务器配置注意事项：

1. 证书颁发机构差异： 理想情况下，服务器应请求由“SubCA”签名的客户端证书，因为这是提供给客户的可信权威。然而，Java 严格遵守证书链验证，在这种情况下可能会导致握手失败。

解决方案：

要纠正此问题，客户端证书及其证书链（包括“SubCA”证书）应合并为单个文件（例如，bundle.pem）。然后可以使用 keytool -importcert -keystore store.jks -alias myalias -file bundle.pem 将这个捆绑的 PEM 文件导入到保存客户端私钥的 Keystore 别名中。通过这样做，Java 将识别完整的证书链并在 SSL 握手期间发送适当的证书。

以上是当服务器请求不同 CA 签名的客户端证书时，为什么我的 Java SSL 握手失败？的详细内容。更多信息请关注PHP中文网其他相关文章！