我在 Apache Tomcat 服务器 A 上有一个 Web 应用程序。这个 Web 应用程序连接到在其他地方运行的服务器 B。此服务器 B 需要使用 SSL 证书进行客户端身份验证。
我想要实现的是,让服务器 A 上的这个 Web 应用程序使用 SSL 客户端证书在服务器 B 上进行身份验证。
因此,我为我的 Tomcat 服务器 A 提供了一些额外的 JAVA_OPTS:
-Djavax.net.ssl.trustStore=/location/keystore.jks
-Djavax.net.ssl.trustStorePassword=changeit
-Djavax.net.ssl.keyStore=/locaton/keystore.jks
-Djavax.net.ssl.keyStorePassword=changeit
-Djavax.net.debug=ssl
现在这个 keystore.jks 包含三个证书:
- CA 证书
- 服务器证书 (PKCS12) 这是服务器 A 的证书
- 客户端证书 (PKCS12) 这是我希望我的 webapp 使用的客户端证书。
tomcat/logs/catalina.out 给出了这个:
Client write key:
0000: some hex
Server write key:
0000:some hex
... no IV used for this cipher
*** CertificateVerify
pool-1-thread-2, WRITE: TLSv1 Handshake, length = 134
pool-1-thread-2, WRITE: TLSv1 Change Cipher Spec, length = 1
Finished
verify_data: { data }
pool-1-thread-2, WRITE: TLSv1 Handshake, length = 32
pool-1-thread-2, READ: TLSv1 Alert, length = 2
pool-1-thread-2, RECV TLSv1 ALERT: fatal, unsupported_certificate
pool-1-thread-2, called closeSocket()
pool-1-thread-2, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: unsupported_certificate
pool-1-thread-2, called close()
为了证明这个密钥库的正确性,我编写了一个小型 Java 应用程序,它使用相同的密钥库连接到同一个服务器 B,并成功协商客户端证书。
我曾尝试将此客户端证书更改为 X509 类型,但即使这样我也遇到错误并且无法通信。
我想也许我错过了什么?有人有这种东西的经验吗?
谢谢