Java证书安装及多个Java应用间的根证书交叉信任

最新推荐文章于 2023-03-02 12:46:38 发布
最新推荐文章于 2023-03-02 12:46:38 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: java证书 文章标签: java证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrs_haining/article/details/116163335
版权

在一套Java产品环境中,常常会存在不同的Java应用,相互之间会通过HttpClient模拟HTTP访问对方,这时就涉及到浏览器所不会用到的特殊的过程:根证书的交叉信任。最后面会讲为什么浏览器和Java应用服务器的通信不需要交叉导入根证书(公钥)。

制作密钥库文件

假设有2个Java应用, app1和app2,用户访问的地址为https://app1.xwiz.cn 和 https://app2.xwiz.cn。首先分别为这两个主机应用创建密钥库JKS和证书请求CSR

  
keytool -genkey -alias app01 -keyalg RSA -keysize 2048 -keystore /u01/app1_xwiz_cn_keystore.jks -dname "CN=app1.xwiz.cn,OU=cn, O=xwiz, L=Suzhou, ST=Jiangsu, C=CN"

这个过程中,必须提供密钥库JKS文件的密码和私钥密码。

发送证书请求

  
keytool -certreq -alias app01 -file /u01/app1_xwiz_cn.csr -keystore /u01/app1_xwiz_cn_keystore.jks

发送请求给CA,并下载证书文件。

导入证书文件

CA机构办法的证书文件格式不尽相同,具体需要查询CA的帮助说明。

以PFX格式为例,假设CA发来的是PKCS#12格式PFX文件。将该证书文件导入到前面创建CSR文件的keystore文件中。

  
keytool -importkeystore -srckeystore /u01/app1_xwiz_cn.pfx -srcstoretype pkcs12 -srcstorepass mykeystorepassword -destkeystore /u01/app1_xwiz_cn_keystore.jks

它会把整个证书链(按照服务器证书-中间证书-根证书的顺序)一起导入到keystore中。

使用 -list 可以清楚地看到证书链,最上面为服务器证书、其次为中间CA,最后为根CA。

  
keytool -list -v -keystore /u01/app1_xwiz_cn_keystore.jks >app1_keystore.txt

导出为app1_keystore.txt文件

  
Alias name: app01
Creation date: Feb 8, 2018
Entry type: PrivateKeyEntry
Certificate chain length: 3
Certificate[1]:
Owner: CN=app1.xwiz.cn,OU=cn, O=xwiz, L=Suzhou, ST=Jiangsu, C=CN"
Issuer: CN=Entrust Certification Authority - L1K, OU="(c) 2012 Entrust, Inc. - for authorized use only", OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US
Serial number: xxxxxx
Valid from: Fri Feb 02 04:56:16 CST 2018 until: Sat Feb 01 05:26:15 CST 2020
Certificate fingerprints:
	 //下面为私钥

Certificate[2]:
Owner: CN=Entrust Certification Authority - L1K, OU="(c) 2012 Entrust, Inc. - for authorized use only", OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US
Issuer: CN=Entrust Root Certification Authority - G2, OU="(c) 2009 Entrust, Inc. - for authorized use only", OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US
Serial number: yyyyyy
Valid from: Wed Oct 22 12:05:14 CDT 2014 until: Wed Oct 23 02:33:22 CDT 2024
Certificate fingerprints:
	 //下面为中间CA的公钥

Certificate[3]:
Owner: CN=Entrust Root Certification Authority - G2, OU="(c) 2009 Entrust, Inc. - for authorized use only", OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US
Issuer: CN=Entrust Root Certification Authority - G2, OU="(c) 2009 Entrust, Inc. - for authorized use only", OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US
Serial number: zzzzzz
Valid from: Tue Jul 07 12:25:54 CDT 2009 until: Sat Dec 07 11:55:54 CST 2030
Certificate fingerprints:
	//下面为根CA的公钥

找到Root Cer很容易,因为根证书的拥有者和颁发者都是自己,就是自己证明自己的权威,好比让派出所自己证明自己就是派出所。

到这一步,app1的证书安装就完成了,通过该Java应用服务器的其他配置(比如证书类型的设置,keystore路径指定等),就可以访问https://app1.xwiz.cn了。

交叉信任根证书

由于app1的keystore文件含有app1的私钥,所以导出根证书必须在app1上完成,或者通过浏览器访问导出(这是最常见最简单的方法)。

  
keytool -export -alias root -file app1_root.crt -keystore app1_xwiz_cn_keystore.jks

再将app1_root.crt导入对方app2的JRE标准信任库,或者建立一个新的信任库。同理对于app2也做同样的操作。

  
keytool -import -trustcacerts -keystore /u01/app2_truststore.jks -storepass changeit -noprompt -alias app01 -file /u01/app/cert/app1_root.cer

如果使用额外的信任库,必须在Java服务器中指定。具体参考该服务器的使用说明。

为何需要交叉信任

这里有一个问题,为什么证书导入到服务器之后,不需要将根证书(公钥)导入到浏览器,浏览器就能自动信任该证书?而Java服务器之间互相访问必须要交叉导入对方的根证书?

每一个浏览器都通过自身的机制定义了一个CTL(Certificate Trust List)证书信任列表,Public CA机构如果制定了新的根证书、修改根证书或者作废根证书,都会向每个浏览器厂商发送更新请求,厂商接收请求后定期地推送新的CTL列表到浏览器。

  • IE浏览器

    IE浏览器使用的CTL来自于Windows操作系统本身的Microsoft Root Certificate Program,它会通过操作系统的自动更新功能,定期地更新信任列表。

  • Firefox

    Firefox通过Mozilla Root Store Policy,自动维护CTL。

  • Chrome

    Chrome在Windows上,会使用Windows自身CTL,在Linux上则使用Mozilla的CTL。

  • Safari

    Safari使用Apple自己的Public Key Infrastructure更新计划

但是对于Java而言,Java版本发布时,会把当时所有公共的Root Cer存储在JDK/jre/lib/security/cacerts文件(JRE标准信任库)中,但是这个Java没有自动更新信任库的机制,尤其对于老版本的Java,很多最新的根证书根本就无法信任。这种情况下,Java服务器之间相互访问时,Server一方必须提交自身的证书证明自己,而Client一方的CTL列表中没有该证书的Root CA Certification,所以也就无法信任对方。 此时常常抛出的错为:

  
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

同时在TCP 包中返回错误:

  
TLSv1.2 Record Layer: Alert (Level: Fatal, Description: Certificate Unknown)
	Content Type: Alert (21)
	Version: TLS 1.2 (0x0303)
	Length: 2
	Alert Message
		Level: Fatal (2)
		Description: Certificate Unknown (46)
Mr_haining
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iOS逆向小知识:SSLHandshake: Received fatal alert: certificate_unknown的解决方案(Charles分析报文常遇到的问题)
iOS逆向与安全
08-12 2万+
当https 链接的证书得不到Charles证书信任之后,就会包这个。解决:   可以使用以下openssl命令来获取到服务器的公开二进制证书(以google为例):"openssl s_client -connect www.google.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > https.cer"让手机去信任c
java实现读取证书访问https接口
07-26
java实现读取证书访问https接口并获取返回数据.证书格式cer,der,crt等。
CFCA证书环境Java安装
05-18
CFCA证书环境Java安装,适用于金融业平台的统一登录
java证书
08-29
java证书
java信任SSL证书的工具类
10-31
java信任SSL证书的工具类 忽略HTTPS请求的SSL证书,必须在openConnection之前调用
一次 https 证书引起的 nginx 400 bad request 分析
u011056389的专栏
08-04 4万+
问题描述 环境描述 Q1分析 Q2分析 总结 Reference1. 问题描述在一台Server上部署有一个https的service(这个service用于为Android Client提供服务),之前一直正常,从某一天开始突然不能正常访问,有的机型一直在nginx中报 400 bad request, 有的则正常访问. 两个问题: Question 1: 为什么一部分机型突然不正常了?
Java加密套件强度限制引起的SSL handshake_failure
Mrs_haining的博客
04-26 2357
通过Java代码使用HttpURLConnection去连接https系统时候总是报错handshake_failure。而使用浏览器访问一切正常。记录下诊断的过程。 HttpURLConnection的调用非常简单。 HttpURLConnection connection = (HttpURLConnection)m_url.openConnection(); connection.setRequestMethod("GET"); connection.setAllowUs.
Apache错误日志提示AH02004: SSL Proxy: Peer certificate is expired
weixin_44519342的博客
03-24 355
Apache错误日志提示AH02004: SSL Proxy: Peer certificate is expired
WireShark抓包之提示Alert Level: Fatal, Description: HandShake Failure
码莎拉蒂
02-26 1万+
1 问题 ssl协议失败的方法,发了client hello包之后回复server hello包失败 2分析 对比正常client hello的数据包, 我们点击Client Hello包看下详细信息,如下图 感觉ssl协议版本不对 然后我们修改了apache的配置,让代理服务器不要用ssl协议1.0 版本设置SSLProx...
java证书认证实现https访问
01-04
java证书认证实现https访问
Java 面经手册·小傅哥.pdf
01-26
这是一本以面试题为入口讲解 Java 核心内容的技术书籍,书中内容极力的向你证实代码是对数学逻辑的具体实现。当你仔细阅读书籍时,会发现Java中有大量的数学知识,包括:扰动函数、负载因子、拉链寻址、开放寻址、...
certificate unknown(46) - 中证书问题排查
weixin_34303897的博客
07-11 5321
因为腾讯云的网站备案迟迟没有批下来,因此使用了朋友在阿里云的域名yk,我则申请了一台阿里云服务器,并将域名解析映射至该服务器。SSL证书则是在腾讯云上申请的,使用了Apache文件夹中的文件,放置在cowboy的priv/ssl目录下,1_root_bundle为证书,2_yk.crt为网站证书,3_yk.key为密钥。一切布置妥当后,在PC的chrome、android的chrome、...
谷歌浏览器偶发“失败 - 证书有误”报错,SSL层 Certificate Unknown (46)错误
万事屋
11-22 1万+
问题描述: 谷歌浏览器 <a>标签下载静态文件 偶发出现 失败 - 证书有误情况。SSL层Certificate Unknown (46)错误。 环境: https协议,nginx/1.15.12,谷歌浏览器版本73.0.3683.86 火狐验证,没有这个问题。 解决过程: 出现报错后,点击谷歌浏览器报错详情。跳转下面url。 https://support.goog...
TLS(v1.2)协议
qq_32076957的博客
03-02 9830
TLS
Charles Android 抓包失败SSLHandshake: Received fatal alert: certificate_unknown
热门推荐
MrgcXia的博客
07-18 5万+
前提:Android使用Charles抓取Https请求的报文时,Android和Charles都正确安装证书之后出现抓包失败,报错SSLHandshake: Received fatal alert: certificate_unknown,如下图所示:原因:安卓7之后调整了安全策略会导致部分手机抓包失败,请参考此链接:https://android-developers.googleblog.
java 证书错误_java – SSL证书错误:certificate_unknown
weixin_28771631的博客
02-13 4616
我想创建推送通知服务器,并在服务器中安装SSL证书和.p12文件时,我们面临以下错误:我想知道ssl证书有什么问题,因为我收到certificate_unknown错误.main, RECV TLSv1 ALERT: fatal, certificate_unknownmain, called closeSocket()main, handling exception: javax.net.ss...
certificate_unknown 未知证书,后端配置了本地生成的证书,vue访问时ERR_CERT_AUTHORITY_INVALID
阿兰你在哪
11-05 2367
解决办法 将ip接口地址复制到浏览器地址栏访问一下就出现以下界面 点继续访问,之后vue访问就访问的通了 每次浏览器历史数据被清除,都需要重新进行此操作,否则就会被拦截。 这个是被浏览器拦截的,主要是证书的问题,不是前端或者后端的问题。 ...
分布式系统.pptx
最新发布
04-29
分布式系统.pptx
java生成密钥链pfx证书,包含多个RSA密钥公钥
07-28
要生成包含多个RSA密钥公钥的密钥链PFX证书,您可以使用Java的KeyStore类和Bouncy Castle库。下面是一个示例代码: ```java import java.io.FileOutputStream; import java.security.KeyPair; import java.security...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值