此代码是否支持相互身份验证,如果是,如何触发它?
Does this code support Mutual authentication and if yes how to trigger it?
参考http://java-buddy.blogspot.com/2016/07/java-example-of-ssl-server-and-client.html
因此,我尝试了与 运行 客户端和服务器代码相同的过程,方法是将密钥库传递给服务器,并按照上述博客 link 中的建议将信任库传递给客户端。
问题 1> 所以我在服务器上使用了与客户端信任库相同的密钥库,它是由命令生成的 'keytool -genkey -alias signFiles -keystore examplestore'。这里发生了什么 ?。客户端如何从该示例库(服务器的密钥库但客户端的信任库)文件中选择受信任的 CA,或者更恰当地说,密钥库如何充当信任库以及该文件究竟由什么组成?
所以我知道的是,
密钥库具有 public 和私钥对以及证书。
对于当前情况,它尚未由 CA 签署证书。
问题 2> 因此我们需要创建该 .crt 文件并由 CA 对其进行签名,然后再次将其嵌入到密钥库中。嵌入crt文件就是导入.这样理解对吗?自签名证书是什么意思?
命令'keytool -genkey -alias signFiles -keystore exampstore'
创建自签名证书 ?
我还尝试为客户端附加密钥库,为服务器附加信任库,它在参数中引用由命令“keytool -genkey -alias signFiles1 -keystore exampstore1”生成的相同文件,同时运行 各自的代码。并且代码运行成功。
我还尝试使用参数,例如将服务器的信任库更改为不验证客户端密钥库的内容。但代码仍然有效。
但是当我尝试更改不验证服务器密钥库的客户端的信任库时,代码抛出了以下异常 "javax.net.ssl.SSLHandshakeException: Received fatal alert: certificate_unknown"。
主要问题:
问题3>这是否意味着它不触发相互认证,如果是,如何触发?它是否支持相互认证
第一名 ?
首先,我们要明确几点:
- 一个
JKS 文件由条目组成,其中每个条目都是 PrivateKeyEntry 或 trustedCertEntry。 (对称密钥还有其他类型,是的,但是让我们在谈论 public 密钥密码术时忘记它们。)
- 当您 运行
genkey 时,您正在生成私钥条目。如您所料,它包含私钥和 public 密钥。
- 您只能从一个私钥条目导出public密钥,然后将其导入另一个
JKS,这次它是一个受信任的证书条目,因为它只包含 public 密钥。
- 每个生成的证书最初都是自签名的。仅当使用另一个私钥条目(CA 的)对其进行签名时,它才不是自签名的。受信任的证书条目可以是自签名的或 CA 签名的。根 CA 证书始终是自签名的。
- 使用
JKS 作为信任库意味着您信任其中的条目,无论它们是自签名的还是 CA 签名的。您可以创建自己的 CA,将其 public 密钥导入 JKS 文件并将其用作您的信任库。这意味着您只信任由您的 CA 签名(直接或间接)的证书。 (间接意味着存在由您的 CA 签署并再次用于签署其他证书的中间证书。)
现在回答你的问题,
Q1
如上所述,使用密钥库作为信任库意味着 "trust the entries in it",所以它有效。无需由另一方(即 CA)签署。
Q2
"Embedding the crt file means importing .Is this correct understanding?"
是的。
"Does the command 'keytool -genkey -alias signFiles -keystore examplestore' create a self signed cert ?"
是的。
关于您使用不同密钥库和信任库配置进行的试验:在典型的 SSL 设置中,只有服务器拥有私钥并提供其证书。只有客户端验证服务器,反之亦然。如果服务器配置为要求证书(可以这样做),那么您在浏览 https 站点时必须 select 您的私钥。验证客户的情况很少见。这就是为什么向客户端提供密钥库和向服务器提供信任库都没有效果的原因。仅当您向客户端提供无效的信任库时才会失败。
Q3
SSL支持相互认证,是的。检查 here 以获得好的答案。
参考http://java-buddy.blogspot.com/2016/07/java-example-of-ssl-server-and-client.html
因此,我尝试了与 运行 客户端和服务器代码相同的过程,方法是将密钥库传递给服务器,并按照上述博客 link 中的建议将信任库传递给客户端。
问题 1> 所以我在服务器上使用了与客户端信任库相同的密钥库,它是由命令生成的 'keytool -genkey -alias signFiles -keystore examplestore'。这里发生了什么 ?。客户端如何从该示例库(服务器的密钥库但客户端的信任库)文件中选择受信任的 CA,或者更恰当地说,密钥库如何充当信任库以及该文件究竟由什么组成?
所以我知道的是, 密钥库具有 public 和私钥对以及证书。 对于当前情况,它尚未由 CA 签署证书。
问题 2> 因此我们需要创建该 .crt 文件并由 CA 对其进行签名,然后再次将其嵌入到密钥库中。嵌入crt文件就是导入.这样理解对吗?自签名证书是什么意思? 命令'keytool -genkey -alias signFiles -keystore exampstore' 创建自签名证书 ?
我还尝试为客户端附加密钥库,为服务器附加信任库,它在参数中引用由命令“keytool -genkey -alias signFiles1 -keystore exampstore1”生成的相同文件,同时运行 各自的代码。并且代码运行成功。
我还尝试使用参数,例如将服务器的信任库更改为不验证客户端密钥库的内容。但代码仍然有效。
但是当我尝试更改不验证服务器密钥库的客户端的信任库时,代码抛出了以下异常 "javax.net.ssl.SSLHandshakeException: Received fatal alert: certificate_unknown"。
主要问题:
问题3>这是否意味着它不触发相互认证,如果是,如何触发?它是否支持相互认证 第一名 ?
首先,我们要明确几点:
- 一个
JKS文件由条目组成,其中每个条目都是PrivateKeyEntry或trustedCertEntry。 (对称密钥还有其他类型,是的,但是让我们在谈论 public 密钥密码术时忘记它们。) - 当您 运行
genkey时,您正在生成私钥条目。如您所料,它包含私钥和 public 密钥。 - 您只能从一个私钥条目导出public密钥,然后将其导入另一个
JKS,这次它是一个受信任的证书条目,因为它只包含 public 密钥。 - 每个生成的证书最初都是自签名的。仅当使用另一个私钥条目(CA 的)对其进行签名时,它才不是自签名的。受信任的证书条目可以是自签名的或 CA 签名的。根 CA 证书始终是自签名的。
- 使用
JKS作为信任库意味着您信任其中的条目,无论它们是自签名的还是 CA 签名的。您可以创建自己的 CA,将其 public 密钥导入JKS文件并将其用作您的信任库。这意味着您只信任由您的 CA 签名(直接或间接)的证书。 (间接意味着存在由您的 CA 签署并再次用于签署其他证书的中间证书。)
现在回答你的问题,
Q1
如上所述,使用密钥库作为信任库意味着 "trust the entries in it",所以它有效。无需由另一方(即 CA)签署。
Q2
"Embedding the crt file means importing .Is this correct understanding?"
是的。
"Does the command 'keytool -genkey -alias signFiles -keystore examplestore' create a self signed cert ?"
是的。
关于您使用不同密钥库和信任库配置进行的试验:在典型的 SSL 设置中,只有服务器拥有私钥并提供其证书。只有客户端验证服务器,反之亦然。如果服务器配置为要求证书(可以这样做),那么您在浏览 https 站点时必须 select 您的私钥。验证客户的情况很少见。这就是为什么向客户端提供密钥库和向服务器提供信任库都没有效果的原因。仅当您向客户端提供无效的信任库时才会失败。
Q3 SSL支持相互认证,是的。检查 here 以获得好的答案。