為什麼Java在SSL握手期間無法傳送客戶端憑證？

Java 在SSL 握手期間神秘地遺漏了客戶端證書

儘管正確配置了密鑰庫和信任庫設置，許多開發人員還是會遇到由於Java 的SSL 握手失敗的問題奇怪的行為。具體來說，Java 在握手期間無法將客戶端憑證傳輸到伺服器。

揭示問題：

1. 伺服器要求的誤解： 伺服器要求客戶端憑證（由RootCA 簽署），但Java 只搜尋其金鑰庫，忽略匹配的憑證（由SubCA 簽署）存在於信任庫中。
2. KeyManager 的過度熱心： Java KeyManager 選擇性地從金鑰庫中檢索客戶端證書，忽略所有其他證書，即使它們完成了憑證鏈。
3. 握手失敗：Java 錯誤地得出沒有適用證書的結論可用並放棄握手，導致令人沮喪的失敗。

可能的解釋：

• 不正確地將中間 CA 憑證匯入金鑰庫，破壞憑證鏈。
• 伺服器設定錯誤，需要簽署憑證由 SubCA 而不是提供的 RootCA 憑證。

臨時解決方法：

要解決此問題，可以建立一個包含客戶端的bundle.pem 檔案憑證、中間CA 憑證以及可能的根CA證書。然後，將此捆綁包匯入到包含私鑰的金鑰庫別名中，確保 Java 在 SSL 握手期間識別完整的憑證鏈。

但是，此解決方案仍然是一個不令人滿意的解決方案，並且來自 Java 開發團隊的正式澄清或未來版本中的解決方案是非常可取的。

以上是為什麼Java在SSL握手期間無法傳送客戶端憑證？的詳細內容。更多資訊請關注PHP中文網其他相關文章！