为什么Java在SSL握手期间无法发送客户端证书？

Java 在 SSL 握手期间神秘地遗漏了客户端证书

尽管正确配置了密钥库和信任库设置，许多开发人员还是会遇到由于 Java 的 SSL 握手失败的问题奇怪的行为。具体来说，Java 在握手期间无法将客户端证书传输到服务器。

揭示问题：

1. 服务器请求的误解： 服务器请求客户端证书（由 RootCA 签名），但 Java 只搜索其密钥库，忽略匹配的证书（由 SubCA 签名）存在于信任库中。
2. KeyManager 的过度热心： Java KeyManager 有选择地从密钥库中检索客户端证书，忽略所有其他证书，即使它们完成了证书链。
3. 握手失败：Java 错误地得出没有适用证书的结论可用并放弃握手，导致令人沮丧的失败。

可能的解释：

• 不正确地将中间 CA 证书导入密钥库，破坏证书链。
• 服务器配置错误，需要签名证书由 SubCA 而不是提供的 RootCA 证书。

临时解决方法：

要解决此问题，可以创建一个包含客户端的 bundle.pem 文件证书、中间 CA 证书以及可能的根 CA 证书。然后，将此捆绑包导入到包含私钥的密钥库别名中，确保 Java 在 SSL 握手期间识别完整的证书链。

但是，此解决方案仍然是一个不令人满意的解决方案，并且来自 Java 开发团队的正式澄清或未来版本中的解决方案是非常可取的。

以上是为什么Java在SSL握手期间无法发送客户端证书？的详细内容。更多信息请关注PHP中文网其他相关文章！