【发布时间】:2016-07-17 00:32:57
【问题描述】:
代码和输入
我正在尝试建立 SSL 连接,并且收到来自服务器的 400 No required SSL certificate was sent 响应。我正在以标准方式执行此操作,例如here;我运行 Java 8。
我的代码示例是:
OkHttpClient client = new OkHttpClient();
KeyStore keyStoreClient = getClientKeyStore();
KeyStore keyStoreServer = getServerKeyStore();
String algorithm = ALGO_DEFAULT;//this is defined as "PKIX"
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(algorithm);
keyManagerFactory.init(keyStoreClient, PASSWORD_SERVER.toCharArray());
SSLContext sslContext = SSLContext.getInstance("TLS");
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(algorithm);
trustManagerFactory.init(keyStoreServer);
sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());
client.setSslSocketFactory(sslContext.getSocketFactory());
client.setConnectTimeout(32, TimeUnit.SECONDS); // connect timeout
client.setReadTimeout(32, TimeUnit.SECONDS); // socket timeout
return client;
这是我用来发送 GET 请求的代码:
public String get(String url) throws IOException
{
String callUrl = URL_LIVE.concat(url);
Request request = new Request.Builder()
.url(callUrl)
.build();
Response response = this.client.newCall(request).execute();
return response.body().string();
}
我启用了:
System.setProperty("javax.net.debug", "ssl");
所以要查看调试消息 - 但那里没有错误/警告/警报,唯一的事情是在最后:
main, called close()
main, called closeInternal(true)
main, SEND TLSv1.2 ALERT: warning, description = close_notify
main, WRITE: TLSv1.2 Alert, length = 26
main, called closeSocket(true)
这是我唯一可以视为“异常”的东西(但我怀疑它是)。
我试过了:
- 不同的协议禁用/启用。例如,对套接字强制
TLSv1/TLSv1.1没有成功。为了尝试,我将我的 ssl 工厂封装到另一个禁用/启用某些协议的工厂中。 - 禁用
SSLv2Hello- 但它不会改变图片。 - 安装Oracle policies,因为之前有关于一些跳过算法的通知,并且此安装“解决”了该问题,但总体结果仍然相同。
- 设置
System.setProperty("sun.security.ssl.allowUnsafeRenegotiation", "true");- 蹩脚,但除了日志中的消息Allow unsafe renegotiation: true之外没有任何改变(显然是“假”) - 将
KeyManagerFactory.getDefaultAlgorithm()用作algorithm用于KeyManagerFactory.getInstance()呼叫。这引发了异常Get Key failed: Given final block not properly padded,据我所知,这是因为使用了错误的算法(阅读this)。我的默认算法是:SunX509 - 使用
keytool -importcert -file /path/to/certificate -keystore keystore.jks -alias "Alias"将证书直接添加到我的机器,然后通过System.setProperty("javax.net.ssl.trustStore","/path/to/keystore.jks");在我的程序中使用它并设置密码:System.setProperty("javax.net.ssl.trustStorePassword","mypassword");(我在keytool中设置密码,然后使用yes确认受信任的证书) ;请参阅 this 和 this 帖子。没有出现任何错误 - 但问题仍然存在。 - 将证书添加到全局密钥库(位于
JAVA_PATH/jre/lib/security/cacerts中的那个):keytool -import -trustcacerts -keystore cacerts -storepass changeit -noprompt -alias Alias -file /path/to/certificate(参见this);看起来导入操作成功了,但没有改变图片
调试中还有通知:ssl: KeyMgr: choosing key: 1 (verified: OK) - 由于我不是 SSL 专家,因此不确定它是否相关。
很遗憾,我看不到服务器端的日志,所以我无法观察到全貌。
问题
这个 400 错误的原因是什么,我该如何进一步发展(调试/尝试其他方法)?任何提示将不胜感激。
【问题讨论】:
-
除非您已创建 (1) 密钥对和 (2) 自签名证书或 (3) CSR 和 (4) 由 CA 签名,否则您没有客户端证书,并且这些操作都不能在 JDK 的信任库中有效地执行。
-
我有一个 pkcs12 格式的客户端证书。我尝试导出它,它实际上是用
keytool -importkeystore -destkeystore -srckeystore cert -srcstoretype PKCS12 -srcstorepass certPass -alias 1成功的,我知道certPass这是有效的,因为我能够用它解锁 pkcs12 证书并在那里看到证书+私钥 -
我发现了问题。就像@EJP 说的,自签名证书。我现在都修好了。