为什么我的 Java 客户端在 SSL 握手期间不发送其证书？

为什么我的 Java 客户端无法在 SSL 握手期间传输其证书？

尝试使用 Java 连接到安全 Web 服务，用户经常遇到握手失败的情况。尽管正确配置了密钥库和信任库，但根本问题通常源于 Java 在握手期间不愿传输客户端证书。

理解问题：

1. 服务器需要由受信任的 RootCA 签名的客户端证书。
2. Java 在密钥库中搜索并仅找到由 SubCA 签名的客户端证书，该证书本身受 RootCA 信任。
3. Java 不会超越密钥库，将信任库排除在搜索范围之外。
4. 因此，Java 声称它不会没有合适的证书，握手失败。

建议解决方案：

1.地址损坏的证书链：

验证 SubCA 证书是否正确导入到密钥库中，而不破坏证书链。这可以使用 keytool -v -list -keystore store.jks 来完成。如果每个别名条目只有一个证书可见，则该链可能已损坏。

将证书链导入密钥库：

要解决此问题，请导入客户端证书并将其整个证书链一起放入包含私钥的密钥库别名中。

2.服务器端的配置问题：

虽然服务器对 SubCA 签名证书的请求是合理的，但 Java 严格遵守该请求可能会产生不必要的限制。据观察，Chrome 和 OpenSSL 等浏览器在这方面更加灵活。

解决方法：

要绕过该问题，可以使用另一种方法：

1. 使用 keytool -exportcert -rfc -file clientcert.pem -keystore 从密钥库导出客户端证书store.jks -alias myalias。这将创建一个 PEM 文件。
2. 将客户端证书和中间 CA 证书（以及可选的根 CA 证书）合并到单个 bundle.pem 文件中。
3. 将证书包导入回密钥库使用 keytool -importcert -keystore store.jks -alias myalias -file bundle.pem.

包含私钥的别名

以上是为什么我的 Java 客户端在 SSL 握手期间不发送其证书？的详细内容。更多信息请关注PHP中文网其他相关文章！