首頁猿問如果客戶端在密鑰庫中有多個證書，將...

如果客戶端在密鑰庫中有多個證書，將選擇哪個 SSL 證書

Java

胡子哥哥 2024-01-05 16:48:33

您能幫我解決以下兩個問題嗎？我有一個連接到 FIX 服務(wù)器的 FIX 引擎。有一個 FIX 服務(wù)器要求客戶端在 SSL 握手期間驗證自身身份。它還提供了一個 SSL 證書，我需要在 SSL 握手期間將其用作客戶端證書。問題#1：我可以將多個證書（私鑰）存儲在密鑰庫中，以便稍后加載到我的 FIX 引擎中嗎？問題#2：如果問題#1 的答案是肯定的，那么當(dāng) SSL 上下文與服務(wù)器建立 SSL 連接時，SSL 上下文將如何在 SSL 握手期間選擇客戶端證書？注意-我正在考慮這些問題，因為將來可能會有其他服務(wù)器也有類似的要求。

查看完整描述

3 回答

飲歌長嘯

TA貢獻1951條經(jīng)驗獲得超3個贊

問題#1：我可以將多個證書（私鑰）存儲在密鑰庫中，以便稍后加載到我的 FIX 引擎中嗎？

就 Java 而言，您絕對可以在一個密鑰庫文件或其他存儲對象中擁有多個私鑰條目，每個私鑰條目都包含一個私鑰以及證書或（通常）鏈。（請注意，如果您使用 PKCS12與其他軟件交換，其他軟件可能不支持一個 PKCS12 中的多個條目。如果您使用 PKCS12 只是為了提高 Java 中的安全性，或者為了消除 j9+ 中的警告，則不必?fù)?dān)心。）

我不知道您使用的是什么 FIX 引擎，也不知道它如何處理 TLS（以前稱為 SSL）的密鑰和證書信息（或者實際上它如何處理 TLS）。如果它只是將密鑰庫文件（或流）加載為 KeyStore 對象，則適用上述 Java 功能。如果它做了其他事情，它能做什么取決于其他事情。

問題#2：如果問題#1 的答案是肯定的，那么當(dāng) SSL 上下文與服務(wù)器建立 SSL 連接時，SSL 上下文將如何在 SSL 握手期間選擇客戶端證書？

在 TLS 協(xié)議中，當(dāng)服務(wù)器請求客戶端使用證書時，它會指定算法約束（1.2 中的葉密鑰算法和/或 1.2 和 1.3 中的鏈簽名算法），并且可以指定所需的證書頒發(fā)機構(gòu) (CA) 列表）（可能已頒發(fā)鏈中的任何證書）。

如果您的客戶端（FIX 引擎）使用 TLS (JSSE) 的 Java 標(biāo)準(zhǔn)實現(xiàn)及其標(biāo)準(zhǔn)（默認(rèn)）“SunX509”KeyManager，則會從密鑰庫中選擇一個滿足服務(wù)器上述約束的條目；如果您選擇或配置“NewSunX509”或“PKIX”KeyManager，它還會檢查為您的 JVM 定義的任何算法約束（例如，自 2017 年左右開始，Oracle JVM 禁止使用基于 MD5 或 SHA1 的簽名的證書，或小于 1024 的 RSA 密鑰位），并優(yōu)先考慮證書未過期且不具有不適當(dāng)?shù)?KeyUsage 或 ExtendedKeyUsage 擴展的條目。在多個可接受或首選條目中，選擇是任意的——但是密鑰庫實現(xiàn)枚舉了它們。大多數(shù)服務(wù)器支持所有標(biāo)準(zhǔn)（可能是且未過時的）算法，并且通常無法以此來區(qū)分。如果服務(wù)器接受來自 Digicert、GoDaddy、LetsEncrypt 等“公共”CA 的證書，這些證書也不太可能不同，但如果它使用特定于該服務(wù)器或其運營商的 CA（或可能幾個），則此類 CA 名稱將通常是唯一的，因此只會為該服務(wù)器選擇密鑰和證書。

如果您的客戶端使用自定義 KeyManager——無論是在應(yīng)用程序中顯式使用還是通過中間件（例如 Apache HttpClient）——它可以執(zhí)行不同的操作。它甚至可以選擇使用服務(wù)器將拒絕的密鑰和證書，盡管這通常被認(rèn)為沒有用。

如果您的客戶端使用不同的 TLS 實現(xiàn)，則可以使用標(biāo)準(zhǔn) KeyManager 結(jié)構(gòu)，可能使用上面的選項，或者可以執(zhí)行其他任何操作。

反對回復(fù) 2024-01-05