4

我使用apache.commons.net -framework在 java 中实现了一个 FTPS 客户端(基于 SSL/TLS 的 FTP) 。它被配置为在默认端口 21 上执行显式安全性。

ftpsClient = new FTPSClient(false);
ftpsClient.setTrustManager(getConfiguration().getCertificatesManager());
ftpsClient.connect(getConfiguration().getHostName(), getConfiguration().getPort());

只要我不在服务器上强制执行客户端身份验证,一切正常。但是我需要启用客户端身份验证,因此我在服务器上强制执行它并配置了客户端系统属性:

-Djavax.net.ssl.keyStore="D:/.../ftps-client-auth.keystore"
-Djavax.net.ssl.keyStorePassword="*****"
-Djavax.net.ssl.keyStoreType=JKS

我得到的和我没有设置系统属性一样:

javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
    at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:174)
    at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:136)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:1806)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:986)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1170)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1197)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1181)
    at org.apache.commons.net.ftp.FTPSClient.sslNegotiation(FTPSClient.java:265)
    at org.apache.commons.net.ftp.FTPSClient._connectAction_(FTPSClient.java:207)
    at org.apache.commons.net.SocketClient.connect(SocketClient.java:172)
    at org.apache.commons.net.SocketClient.connect(SocketClient.java:192)

服务器日志说:

DEBUG: Client "<my ip address>", "SSL_accept failed: error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate"

似乎正确 - 我启用了-Djavax.net.debug=all,这表明服务器发送了它接受的 CN 列表,但客户端发送了一个空的证书链。

  • 我做错了什么?
  • 我需要以编程方式进行一些配置吗?
  • 证书或私钥是否需要支持 SSL/TLS 的任何特殊内容?
4

1 回答 1

5

想通了:您需要以编程方式设置一个KeyManager. 设置系统属性 ( -Djavax.net.ssl.keyStore, ...) 是不够的,因为该框架不使用 Suns SSLSocketFactory

例子:

ftpsClient = new FTPSClient(false);
ftpsClient.setTrustManager(TrustManagerUtils.getAcceptAllTrustManager());
KeyManager keyManager = org.apache.commons.net.util.KeyManagerUtils.createClientKeyManager(new File(keystorePath), keystorePass);
ftpsClient.setKeyManager(keyManager);
ftpsClient.connect(getConfiguration().getHostName(), getConfiguration().getPort());

您可能想要选择不同的信任管理器,例如基于 Java 密钥库的信任管理器。实用程序也为此提供了一种方法:TrustManagerUtils.getDefaultTrustManager(keystore)

于 2012-11-20T17:58:59.443 回答