0

我无法理解为什么 Weblogic/Java 没有在 SSL 握手期间通过 CertificateRequest 消息发送服务器(IIS 服务器)请求的客户端证书。

我已经检查并尝试了 SO 中的所有其他问题/答案,例如: Java 没有为相互 SSL 提供客户端证书? 和类似的。

我创建了一个名为 Identity.jks 的自定义密钥库,其中只有一个证书条目,并且我遵循了 WL 指南(以及我在 Internet 上可以找到的所有其他内容)来进行正确的设置。

以下是 SSL 握手的调试日志:

*** CertificateRequest
Cert Types: RSA, DSS, ECDSA
Supported Signature Algorithms: SHA512withRSA, SHA512withECDSA, SHA256withRSA, SHA384withRSA, SHA1withRSA, SHA256withECDSA, SHA384withECDSA, SHA1withECDSA, SHA1withDSA
Cert Authorities:
<Empty>
*** ServerHelloDone
Warning: no suitable certificate found - continuing without client authentication
*** Certificate chain
<Empty>

如您所见,服务器发送了一条CertificateRequest消息,但由于某些原因Cert AuthoritiesEmpty. 在这种情况下,客户端(Weblogic)不发送证书。如您所见,开发人员发出警告消息:

no suitable certificate found - continuing without client authentication

当我使用SoapUI而不是 Weblogic 与服务器通信时,握手成功。SoapUI 发送包含在Identity.jks密钥库中的证书。

是否可以SoapUI减少限制并发送密钥库中存在的唯一证书,而 Weblogic 期望从服务器中找到某些内容Cert Authorities: <Empty>

由于我已将 weblogic 设置为仅使用具有该别名的密钥,因此我希望它能够发送它...

任何人都知道 Weblogic 使用什么标准来查找匹配的客户端证书?

我对日志的解释是否正确?

欢迎任何想法/帮助。

4

2 回答 2

0

我在使用 Java HTTP 客户端时遇到了类似的问题。根据您的 IIS 版本,服务器可能会或可能不会发回证书列表。较新的版本没有。

确保您在密钥库中拥有完整的证书链和客户端证书。

于 2018-10-04T13:38:48.850 回答
0

由于似乎有兴趣,我正在回答我自己关于我们如何修复它的问题。

当写入Java clients通过与其他服务器通信时,Two-Way SSL我们需要确保用于启动通信的 SSL 上下文已设置为Custom Identity KeystoreCustom Trust keystore.

一种方便的方法是在 JVM 进程启动时(在 WebLogic 或其他 Web 应用程序服务器启动时)将身份和信任密钥库作为 JVM 选项传递。JVM 参数可以在服务器启动脚本(如果存在)中传递,也可以作为命令行参数传递。

下面是一个例子:

-Djavax.net.ssl.keyStore=D:\Path-to\identity.jks -Djavax.net.ssl.keyStoreType=JKS -Djavax.net.ssl.keyStorePassword=MyReallyComplexPassword -Djavax.net.ssl.trustStore=D:\Path-to\trust_keystore.jks  -Djavax.net.ssl.trustStoreType=JKS -Djavax.net.ssl.trustStorePassword=MyTrustStorePassword

其中 的值javax.net.ssl.keyStore是我们所说的Custom Identity Keystore,而 的值javax.net.ssl.trustStore是我们所说的Custom Trust Keystore

注意:完成同样事情的另一种方法是在向服务器发起请求之前,直接在客户端代码本身中加载和设置身份和信任密钥库。网上有多个例子解释了如何做到这一点。

重要提示:在编写应通过双向 SSL 进行通信的客户端时,请确保永远不要盲目信任所有证书。许多客户端库为您提供了一个布尔选项TrustAllCerts,该选项在开发过程中很有用,但是如果您将其留在生产环境中,Two-Way SSL它将无法正常工作。这是因为通过告诉 SSL 上下文信任任何证书,不会检查服务器证书交换密钥(因为您无论如何都信任它),因此CertificateRequest来自服务器的信息将被忽略。客户端将继续而不发送其客户端证书,但是,因为服务器希望客户端发送一个,握手过程将以失败告终。

于 2020-08-25T22:04:23.617 回答