我知道这是常见的错误,并且这个问题有很多重复项。尽管他们是我,但我仍然无法真正找到真正的原因并解决我的问题,所以让我们开始吧。
我使用的是Kafka,在我的信任库中的服务器端,我有4个链。每个链代表一个证书颁发机构。每个链也作为捆绑进口(Interm + Root cert)。每个经纪人当然都有自己的密钥库,并由CA-1签署。
我的客户有CA-3签署的证书。在我的客户的信任库中,我可以列出经纪人上相同的链。
例:
在客户端的调试模式下,我可以找到以下内容:
check handshake state: unknown[13]
*** CertificateRequest
Cert Types: RSA, DSS, ECDSA
Supported Signature Algorithms: SHA512withECDSA, SHA512withRSA, SHA384withECDSA, SHA384withRSA, SHA256withECDSA, SHA256withRSA, SHA256withDSA, SHA224withECDSA, SHA224withRSA, SHA224withDSA, SHA1withECDSA, SHA1withRSA, SHA1withDSA
Cert Authorities:
<CN=CA-1>
<CN=CA-2>
<CN=CA-3>
.
.
.
*** ServerHelloDone
[read] MD5 and SHA1 hashes: len = 4
0000: 0E 00 00 00 ....
Warning: no suitable certificate found - continuing without client authentication
*** Certificate chain
<Empty>
***
.
.
.
kafka-producer-network-thread | console-producer, READ: TLSv1.2 Handshake, length = 3018
check handshake state: server_hello[2]
kafka-producer-network-thread | console-producer, fatal error: 10: Handshake message sequence violation, 2
javax.net.ssl.SSLProtocolException: Handshake message sequence violation, 2
%% Invalidated: [Session-4, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384]
kafka-producer-network-thread | console-producer, SEND TLSv1.2 ALERT: fatal, description = unexpected_message
Padded plaintext before ENCRYPTION: len = 80
现在,我不明白的是。应用程序能够找到受信任的代理证书(我不想放在开头的日志),能够在CertificateRequest中找出所有可用的CA,但仍然无法进行握手。
可以肯定的是-我如何获得失败的客户端的Interm + Root证书的方式是,我下载了Intermediate证书并从Interm中提取了Root一个。制作了一个以interm为首,根为第二的捆绑软件,然后将该捆绑软件放在truststore和keystore中的一个别名下。
我知道这很可能是服务器信任错误,但是我不知道如何纠正此错误,因为证书确实存在,并且导入的证书捆绑包的导入方式与对其他工作的方式相同。
如果我做错了什么,请纠正我,或者如果我做错了,甚至更好。我是SSL点头,想学习点东西。。谢谢!
在我的情况下,我认为很多情况下是:
因此,如果我愿意:
$ keytool -list -keystore client.keystore.jks
我会发现:
primaryca, Jul 26, 2014, trustedCertEntry,
Certificate fingerprint (SHA1): <snip>
client, Jul 26, 2014, trustedCertEntry,
Certificate fingerprint (SHA1): <snip>
如您所见,密钥库中没有用于客户端证书的PrivateKeyEntry。
所以我从头开始。
# Creating client keystore
$ openssl pkcs12 -export -in client_certificate.crt -inkey client_certificate.key -certfile client_certificate.crt -out client.p12
$ keytool -importkeystore -srckeystore client.p12 -srcstoretype pkcs12 -destkeystore client.keystore.jks -deststoretype JKS
# add bundle (interm + root)
$ keytool -keystore client.keystore.jks -alias CArootbundle -import -file bundle.pem
现在,列出密钥库后:
CArootbundle, Jul 26, 2014, trustedCertEntry,
Certificate fingerprint (SHA1): <snip>
1, Jul 26, 2014, PrivateKeyEntry,
Certificate fingerprint (SHA1): <snip>
在使用新创建的密钥库启动应用程序之后,eveything开始起作用:)
希望我能帮助一个人!
干杯
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句