如何创建包含客户端证书链的 BKS (BouncyCastle) 格式 Java 密钥库

Question

我正在编写一个需要 SSL 客户端身份验证的 Android 应用。我知道如何为桌面 Java 应用程序创建 JKS 密钥库，但 Android 仅支持 BKS 格式。我尝试创建密钥库的每一种方式都会导致以下错误：
handling exception: javax.net.ssl.SSLHandshakeException: null cert chain

所以看起来客户端从未发送正确的证书链，可能是因为我没有正确创建密钥库。我无法像在桌面上那样启用 SSL 调试，所以这比它应该做的要困难得多。

以下是用于创建 BKS truststore 的命令供参考：
keytool -importcert -v -trustcacerts -file "cacert.pem" -alias ca -keystore "mySrvTruststore.bks" -provider org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath "bcprov-jdk16-145.jar" -storetype BKS -storepass testtest

---

这是我尝试过的无法创建 BKS 客户端 keystore 的命令：

cat clientkey.pem clientcert.pem cacert.pem > client.pem

keytool -import -v -file <(openssl x509 -in client.pem) -alias client -keystore "clientkeystore" -provider org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath "bcprov-jdk16-145.jar" -storetype BKS -storepass testtest

Answer 1

我遵循的详细分步说明

• 从以下位置下载 bouncycastle JAR http://repo2.maven.org/maven2/org/bouncycastle/bcprov-ext-jdk15on/1.46/bcprov-ext-jdk15on-1.46.jar 或从“doc”文件夹中获取。
• 使用以下方法之一为 PC 配置 BouncyCastle。
  • 静态添加 BC 提供程序（推荐）
    • 将 bcprov-ext-jdk15on-1.46.jar 复制到每个
      • D:\tools\jdk1.5.0_09\jre\lib\ext（JDK（捆绑的 JRE）
      • D:\tools\jre1.5.0_09\lib\ext (JRE)
      • C:\（环境变量中使用的位置）
    • 修改java.security文件下
      • D:\tools\jdk1.5.0_09\jre\lib\security
      • D:\tools\jre1.5.0_09\lib\security
      • 并添加以下条目
        • security.provider.7=org.bouncycastle.jce.provider.BouncyCastleProvider
    • 在“用户变量”部分添加以下环境变量
      • CLASSPATH=%CLASSPATH%;c:\bcprov-ext-jdk15on-1.46.jar
  • 将 bcprov-ext-jdk15on-1.46.jar 添加到项目的 CLASSPATH 并在代码中添加以下行
    • Security.addProvider(new BouncyCastleProvider());
• 使用 Bouncy Castle 生成密钥库
  • 运行以下命令
    • keytool -genkey -alias myproject -keystore C:/myproject.keystore -storepass myproject -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider
  • 这会生成文件 C:\myproject.keystore
  • 运行以下命令检查是否正确生成
    • keytool -list -keystore C:\myproject.keystore -storetype BKS

• 为 TOMCAT 配置 BouncyCastle

  • 打开 D:\tools\apache-tomcat-6.0.35\conf\server.xml 并添加以下条目

  • 完成这些更改后重新启动服务器。

• 为 Android 客户端配置 BouncyCastle
  • 无需配置，因为 Android 在提供的“android.jar”中内部支持 Bouncy Castle 版本 1.46。
  • 只需实现您的HTTP客户端版本（MyHttpClient.java可以在下面找到）并在代码中设置以下内容
    • SSLSocketFactory.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
  • 如果您不这样做，则会出现如下异常
    • javax.net.ssl.SSLException：证书中的主机名不匹配： !=
  • 在生产模式下，将上述代码更改为
    • SSLSocketFactory.setHostnameVerifier(SSLSocketFactory.STRICT_HOSTNAME_VERIFIER);

MyHttpClient.java

package com.arisglobal.aglite.network;

import java.io.InputStream;
import java.security.KeyStore;

import org.apache.http.conn.ClientConnectionManager;
import org.apache.http.conn.scheme.PlainSocketFactory;
import org.apache.http.conn.scheme.Scheme;
import org.apache.http.conn.scheme.SchemeRegistry;
import org.apache.http.conn.ssl.SSLSocketFactory;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.http.impl.conn.SingleClientConnManager;

import com.arisglobal.aglite.activity.R;

import android.content.Context;

public class MyHttpClient extends DefaultHttpClient {

    final Context context;

    public MyHttpClient(Context context) {
        this.context = context;
    }

    @Override
    protected ClientConnectionManager createClientConnectionManager() {
        SchemeRegistry registry = new SchemeRegistry();

        registry.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));

        // Register for port 443 our SSLSocketFactory with our keystore to the ConnectionManager
        registry.register(new Scheme("https", newSslSocketFactory(), 443));
        return new SingleClientConnManager(getParams(), registry);
    }

    private SSLSocketFactory newSslSocketFactory() {
        try {
            // Get an instance of the Bouncy Castle KeyStore format
            KeyStore trusted = KeyStore.getInstance("BKS");

            // Get the raw resource, which contains the keystore with your trusted certificates (root and any intermediate certs)
            InputStream in = context.getResources().openRawResource(R.raw.aglite);
            try {
                // Initialize the keystore with the provided trusted certificates.
                // Also provide the password of the keystore
                trusted.load(in, "aglite".toCharArray());
            } finally {
                in.close();
            }

            // Pass the keystore to the SSLSocketFactory. The factory is responsible for the verification of the server certificate.
            SSLSocketFactory sf = new SSLSocketFactory(trusted);

            // Hostname verification from certificate
            // http://hc.apache.org/httpcomponents-client-ga/tutorial/html/connmgmt.html#d4e506
            sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
            return sf;
        } catch (Exception e) {
            throw new AssertionError(e);
        }
    }
}

如何在您的 Activity 类中调用上述代码：

DefaultHttpClient client = new MyHttpClient(getApplicationContext());
HttpResponse response = client.execute(...);

Answer 2

我使用Portecle，它就像一个魅力。

Answer 3

我认为您的问题与 BouncyCastle 密钥库无关；我认为问题在于 Android 中的 javax.net.ssl 包损坏。 BouncyCastle 密钥库是一个极大的烦恼，因为 Android 更改了默认 Java 行为而没有在任何地方记录它 - 并删除了默认提供程序 - 但它确实有效。

请注意，对于 SSL 身份验证，您可能需要 2 个密钥库。包含 CA 证书的“TrustManager”密钥库和包含您的客户端站点公钥/私钥的“KeyManager”密钥库。 （文档对 KeyManager 密钥库中需要包含的内容有些模糊。）理论上，如果您的所有证书都由“知名”证书颁发机构（例如 Verisign、Thawte、等等。让我知道这对你有用。您的服务器还需要 CA 用于签署您的客户端的任何内容。

我根本无法使用 javax.net.ssl 创建 SSL 连接。我在服务器端禁用了客户端 SSL 身份验证，但仍然无法创建连接。由于我的最终目标是 HTTPS GET，因此我尝试使用与 Android 捆绑的 Apache HTTP 客户端。那种工作。我可以进行 HTTPS 连接，但我仍然无法使用 SSL 身份验证。如果我在我的服务器上启用客户端 SSL 身份验证，连接将失败。我没有检查 Apache HTTP 客户端代码，但我怀疑他们使用的是自己的 SSL 实现，并且不使用 javax.net.ssl。

Answer 4

不确定你是否解决了这个问题，但我就是这样做的，并且它适用于 Android：

1. 使用 openssl 将客户端的证书（证书必须由服务器接受的 CA 签名）和私钥合并成一个 PCKS12 格式的密钥对： openssl pkcs12 -export -in clientcert.pem -inkey clientkey.pem -out client.p12
2. 您可能需要将您的 JRE 修补为无限强度加密取决于您的密钥强度：从JCE 5.0 unlimited strength Jurisdiction Policy FIles 复制 jar 文件并覆盖 JRE 中的那些文件（例如 C:\Program Files\Java\jre6\lib\security）
3. 使用上面提到的 Portecle 工具，创建一个 BKS 格式的新密钥库
4. 导入步骤1中生成的PCKS12密钥对，保存为BKS密钥库。此密钥库适用于 Android 客户端身份验证。
5. 如果你需要做证书链，你可以使用这个IBM工具：KeyMan将客户的PCKS12密钥对与CA证书合并。但它只生成 JKS 密钥库，因此您再次需要 Protecle 将其转换为 BKS 格式。

Answer 5

命令行：

keytool -genseckey -alias aliasName -keystore truststore.bks -providerclass org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath /path/to/jar/bcprov-jdk16-1.46.jar -storetype BKS

Answer 6

您创建 BKS 密钥库的命令对我来说看起来是正确的。

如何初始化密钥库。

您需要创建并传递您自己的 SSLSocketFactory。这是一个使用 Apache 的 org.apache.http.conn.ssl.SSLSocketFactory

的示例

但我认为你可以在 javax.net.ssl.SSLSocketFactory 上做同样的事情

    private SSLSocketFactory newSslSocketFactory() {
    try {
        // Get an instance of the Bouncy Castle KeyStore format
        KeyStore trusted = KeyStore.getInstance("BKS");
        // Get the raw resource, which contains the keystore with
        // your trusted certificates (root and any intermediate certs)
        InputStream in = context.getResources().openRawResource(R.raw.mykeystore);
        try {
            // Initialize the keystore with the provided trusted certificates
            // Also provide the password of the keystore
            trusted.load(in, "testtest".toCharArray());
        } finally {
            in.close();
        }
        // Pass the keystore to the SSLSocketFactory. The factory is responsible
        // for the verification of the server certificate.
        SSLSocketFactory sf = new SSLSocketFactory(trusted);
        // Hostname verification from certificate
        // http://hc.apache.org/httpcomponents-client-ga/tutorial/html/connmgmt.html#d4e506
        sf.setHostnameVerifier(SSLSocketFactory.STRICT_HOSTNAME_VERIFIER);
        return sf;
    } catch (Exception e) {
        throw new AssertionError(e);
    }
}

如果有效，请告诉我。

Answer 7

使用本手册http://blog.antoine.li/2010/10/22/android-trusting-ssl-certificates/ 这个指南真的帮助了我。观察商店中的一系列证书很重要。例如：先导入最底层的中间 CA 证书，然后一直导入到根 CA 证书。