[myserver.mydomain.com] 不受信任的 Java 信任库根证书

Question

我在尝试使用自定义 java 信任库连接到服务器时遇到了一些困难，当我尝试连接时出现以下错误。我几乎没有使用 java 通过 SSL 连接的经验，所以我担心有一些我不知道会导致问题：

javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: root certificate not trusted of [myserver.mydomain.com]
    at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
    at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1884)
    at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:276)
    at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:270)
    at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1341)
    at sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:153)
    at sun.security.ssl.Handshaker.processLoop(Handshaker.java:868)
    at sun.security.ssl.Handshaker.process_record(Handshaker.java:804)
    at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1016)
    at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1312)
    at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1339)
    at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1323)
    at org.jiv

连接需要我以下列方式创建的密钥库和信任库：

密钥库：

• 在客户端生成了一个私钥 (openssl genrsa -out mykey.key 4096)
• 生成自签名 CSR /w 质询密码 (openssl req -new -key mykey.key -out mykey.csr)
• 生成自签名证书公钥对证书 (openssl req -x509 -days 365 -key mykey.key -in mykey.csr -out mykey.cer)
• 从私钥 (openssl pkcs12 -export -out mykey.p12 -inkey mykey.key -in mykey.cer) 生成一个 PKCS12 文件
• 将新的 PKCS12 文件添加到新的密钥库 (keytool -importkeystore -srckeystore mykey.p12 -destkeystore mykeystore.jks -srcstoretype PKCS12)
• 将服务器的公共证书从pem 转换为der (keytool -import -alias mnt1 -keystore mykeystore.jks -file puiblicserver.der) 后将其添加到密钥库中

信任库：

• 将相同的公钥从服务器添加到新的信任库 (keytool -import -alias root -keystore truststore.jks -file puiblicserver.der)

---

从那里我将 mykey.cer 上传到服务器的受信任证书存储。我注意到的一件事是，当我使用我的 jar 文件 (java -Djavax.net.debug=ssl,handshake -jar myjar.jar myserver.mydomain.com User truststore.jks <PW> mykeystore.jks <PW>) 检查连接时，服务器实际上是由 Digicert 中间证书签名的。因此，我还将 Digicert 中的中间证书和根证书都添加到了信任库（不是密钥库）中，但这不起作用。

但是，如果我 cat 中间证书和根证书并在从客户端到服务器的 openssl 连接中使用它们成功连接，这让我相信这与 java 信任库有关。

---

编辑：我在 java 中调用连接：

TLSConfiguration config = new TLSConfiguration();
    config.setHosts(hostnames);
    config.setUserName(username);
    config.setGroup(Group.EPS.value());
    config.setKeystorePath(keystoreFilename);
    config.setKeystorePassphrase(keystorePassword);
    config.setTruststorePath(truststoreFilename);
    config.setTruststorePassphrase(truststorePassword);

示例：java -Djavax.net.debug=ssl,handshake -jar myjar.jar myserver.mydomain.com User truststore.jks <PW> mykeystore.jks <PW>

Answer 1

您的问题并不清楚您使用的是哪个信任存储。您是否使用类似的方式将自签名证书加载到默认信任库中？

keytool -import -trustcacerts -keystore cacerts -storepass changeit -noprompt -alias yourAliasName -file path\to\certificate.cer

如果没有，您需要告诉 Java 使用哪个信任库。如果您不这样做，它将使用默认值（其中没有您的自签名证书）。你需要这样做：

-Djavax.net.ssl.trustStore=<path to your trusstore>.jks -Djavax.net.ssl.trustStorePassword=<your password>

注意：如果您通过 -D 参数设置信任库，您的代码将仅信任该信任库中的 CA。

要指定使用哪个密钥库，您可以添加这些 java opts：

-Djavax.net.ssl.keyStore=<path to your keystore>.jks -Djavax.net.ssl.keyStorePassword=<your keystore password>