代码和输入
我正在尝试建立 SSL 连接,但收到400 No required SSL certificate was sent了服务器的响应。我正在以标准方式执行此操作,例如此处描述的那样;我运行 Java 8。
我的代码示例是:
OkHttpClient client = new OkHttpClient();
KeyStore keyStoreClient = getClientKeyStore();
KeyStore keyStoreServer = getServerKeyStore();
String algorithm = ALGO_DEFAULT;//this is defined as "PKIX"
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(algorithm);
keyManagerFactory.init(keyStoreClient, PASSWORD_SERVER.toCharArray());
SSLContext sslContext = SSLContext.getInstance("TLS");
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(algorithm);
trustManagerFactory.init(keyStoreServer);
sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());
client.setSslSocketFactory(sslContext.getSocketFactory());
client.setConnectTimeout(32, TimeUnit.SECONDS); // connect timeout
client.setReadTimeout(32, TimeUnit.SECONDS); // socket timeout
return client;
这是我用来发送 GET 请求的代码:
public String get(String url) throws IOException
{
String callUrl = URL_LIVE.concat(url);
Request request = new Request.Builder()
.url(callUrl)
.build();
Response response = this.client.newCall(request).execute();
return response.body().string();
}
我启用了:
System.setProperty("javax.net.debug", "ssl");
所以要查看调试消息 - 但那里没有错误/警告/警报,唯一的事情就是最后:
main, called close()
main, called closeInternal(true)
main, SEND TLSv1.2 ALERT: warning, description = close_notify
main, WRITE: TLSv1.2 Alert, length = 26
main, called closeSocket(true)
这是我唯一可以视为“异常”的东西(但我怀疑它是)。
我试过:
TLSv1/TLSv1.1用于套接字没有成功。为了尝试,我将我的 ssl 工厂包装到另一个禁用/启用某些协议的工厂中。SSLv2Hello- 但它不会改变图片。System.setProperty("sun.security.ssl.allowUnsafeRenegotiation", "true");- 蹩脚,但也没有改变除了日志中的消息Allow unsafe renegotiation: true(显然是“假”)KeyManagerFactory.getDefaultAlgorithm()如algorithm对KeyManagerFactory.getInstance()通话。这引发了异常Get Key failed: Given final block not properly padded,据我所知,这是因为使用了错误的算法(阅读本文)。我的默认算法是:SunX509keytool -importcert -file /path/to/certificate -keystore keystore.jks -alias "Alias",然后通过System.setProperty("javax.net.ssl.trustStore","/path/to/keystore.jks");设置密码在我的程序中使用它:(System.setProperty("javax.net.ssl.trustStorePassword","mypassword");我设置了密码,keytool然后用 确认了受信任的证书yes);看到这个和这个帖子。没有出现错误 - 但问题仍然存在。JAVA_PATH/jre/lib/security/cacerts)有:keytool -import -trustcacerts -keystore cacerts -storepass changeit -noprompt -alias Alias -file /path/to/certificate(见本); 看起来导入操作成功了,但它并没有改变图片调试中还有一个注意事项:ssl: KeyMgr: choosing key: 1 (verified: OK)- 不确定它是否相关,因为我不是 SSL 专家。
不幸的是我看不到服务器端日志,所以我无法观察全貌。
题
这个 400 错误的原因是什么,我该如何进一步(调试/尝试其他方法)?任何提示将不胜感激。
小智 7
您的服务器要求提供客户端证书。您需要在您的客户端机器上安装一个证书(由受信任的机构签署),并让您的程序知道它。
通常,您的服务器具有由您组织的 IT 安全部门或某个全球信任的 CA 签署的证书(密钥用途设置为“TLS 服务器身份验证”)。您应该从同一来源获得用于“TLS 客户端身份验证”的证书。
如果您在 Wireshark 中捕获 TLS 握手,您将看到 ServerHello 消息后跟“客户端证书请求”,您用长度为 0 的“客户端证书”消息回复该消息。您的服务器选择拒绝此消息。
| 归档时间: |
|
| 查看次数: |
27589 次 |
| 最近记录: |