2

当我在 Java 7 中创建 SSLServerSocket 时,服务器正确使用了我的服务器证书和密钥。该证书是由 ca 的 sub ca 颁发的。因此,从根证书到服务器证书的完整链有四个证书。完整的链存在于密钥库/信任库中。

但是,当客户端连接服务器时,始终只发送服务器证书本身。这也适用于基于 Java 的 Web 服务器,例如 Jetty。

因为大多数客户端只安装了根 ca 证书,而没有安装两个子 ca 证书,这是一个大问题。

如何强制 Java 在 SSL/TLS 握手中发送完整的证书链?

4

1 回答 1

4

密钥库中的密钥条目不仅适用于单个证书,而且适用于证书链(请参阅KeyStore.setKeyEntry,它带有一个Certificate[] chain参数)。

如果您想使用特定的链,则需要在您拥有证书及其私钥的条目中将其设置为链。中间证书是否也在同一个密钥库中,在不同的条目中并不重要。

这与让客户端发送完整的客户端证书链非常相似。从服务器的角度来看,相同的密钥库配置步骤也应该有效,如本问题所述。

于 2012-10-08T13:27:09.083 回答