我爲什麼會遇到握手故障（Java SSL）

Question

我通過HTTPS連接到Web服務。我已經完成了所有我認爲需要的工作，但最終我得到了握手失敗。

我發現作爲一個新用戶，由於「垃圾郵件保護」，我不能發佈超過2個鏈接 - thanx很多stackoverflow ...無論如何，這裏是一個鏈接到一個pastebin帖子，所有鏈接拼寫出來。 ..所以當我寫「鏈接＃1」這是這些鏈接的引用：http://pastebin.com/y4zGNRC7

• 我使用的HttpClient（上取得成功的服務URL）和實際調用通過CXF代理Web服務驗證了相同的行爲我設置了密鑰庫和信任庫 - 我嘗試了「在代碼中」的方式（鏈接＃1）和設置系統屬性 - 即System.setProperty（「javax.net.ssl.keyStore」，「mykeystore .jks「）;
• SSL調試是（javax.net.debug =全部）
• SSL調試脫口而出兩個密鑰庫和信任的內容（即看起來像Java「知道他們」） - 鏈接＃2
• 好像有一些客戶端 - 服務器通信回事，但隨後崩潰出於某種原因鏈接3
• 我在瀏覽器（Chrome）使用客戶端和CA證書都使用的OpenSSL的s_client.First
• Wireshark的表演成功地連接到服務器來自java的更少的客戶端 - 服務器對話（鏈接＃4）然後例如來自Chrome（鏈接＃5）

另一個奇怪的現象是，當我設置密鑰庫並且不知道時（我唯一的區別是當我在控制檯中打印密鑰庫內容時，我似乎獲得了相同的行爲，但就是這樣）。

我試着用Google搜索這個問題，我在這裏看到了很多類似的帖子在stackoverflow，但沒有任何幫助。 我試着改變協議版本（「TLSv1」，「SSLv3」，甚至是怪異的v2 Hello）。 任何幫助，將不勝感激 - 也許有可能我忽略了一些基本的東西......我越來越絕望這裏... 感謝名單

PS我在Fedora Core 15運行Java 1.6更新30（64位）

Answer 1

問題是，即使設置了密鑰庫和信任庫，java也決定不將客戶端證書發送到服務器。原因是服務器請求由RootCA授權機構簽署的證書，但客戶端證書由SubCA授權機構（由RootCA頒發）簽署。

最初密鑰庫只包含客戶端證書和信任庫SubCA證書。 然後我試着將SubCA證書添加到密鑰庫，但是java只是忽略了它。

所以這解決了hanshake失敗的奧祕，但不是我的問題。

我創建了一個單獨的問題爲...感嘆:-( why doesn't java send the client certificate during SSL handshake?

Answer 2

您提供的信息不足，但我猜測您的客戶端信任庫未正確配置。信任庫包含用於簽署其他證書的可信證書，並且必須包含服務器和客戶端證書鏈的根證書。客戶端密鑰庫包含客戶端SSL證書和私鑰。

Answer 3

我認爲不包含CA的信任存儲庫是最可能發生的問題。您可以使用Java keytool導入證書的網站爲cacerts文件做這樣的事情：

keytool -keystore pathtocacerts -import -trustcacerts -v -alias aliasName -file root.crt 

默認的cacerts密鑰存儲密碼是changeit。 cacerts文件通常在jre/lib/security目錄下。