10

Windows 7 で実行されている Java 1.7 アプリで、サーバーと双方向 SSL を実行しようとしています (スマートカード トークンが openSC 経由でクライアント証明書を提供しています)。サーバーの証明書はクライアントによって正常に検証されていますが、クライアントはサーバーの証明書要求に応答しません。クライアントが私の証明書からサーバーによって要求されたものの1つへのチェーンを作成できないためだと思います(そのようなチェーンは存在しますが)。

サーバーの証明書要求とクライアントの空の応答の SSL デバッグは次のとおりです。

*** CertificateRequest
Cert Types: RSA, DSS, ECDSA
Cert Authorities:
<CN=c4isuite-SDNI-DC02-CA, DC=c4isuite, DC=local>
<CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US>
    ...
*** ServerHelloDone
*** Certificate chain
***

私のクライアント証明書は次のとおりです。

found key for : Certificate for PIV Authentication
chain [0] = [
[
  Version: V3
  Subject: CN=<...>, OU=CONTRACTOR, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5

  Key:  Sun RSA public key, 2048 bits

  Issuer: CN=DOD CA-30, OU=PKI, OU=DoD, O=U.S. Government, C=US
  SerialNumber: [    05bf13]

key-tool を介して、証明書の発行者である DOD CA-30 とサーバーが要求しているものである DoD Root CA 2 の間のリンクとなるトラストストア (java cacerts ファイル) にもインストールしました。

SSL デバッグから:

adding as trusted cert:
  Subject: CN=DOD CA-30, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Issuer:  CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Algorithm: RSA; Serial number: 0x1b5
  Valid from Thu Sep 08 10:59:24 CDT 2011 until Fri Sep 08 10:59:24 CDT 2017

adding as trusted cert:
  Subject: CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Issuer:  CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Algorithm: RSA; Serial number: 0x5
  Valid from Mon Dec 13 09:00:10 CST 2004 until Wed Dec 05 09:00:10 CST 2029

問題は、なぜクライアントが応答用の証明書チェーンを作成できないのかということです。関連するコードは次のとおりです。

    // Create the keyStore from the SmartCard certs
    Provider provider = new sun.security.pkcs11.SunPKCS11(configName);

    Security.addProvider(provider);
    keyStore = KeyStore.getInstance("PKCS11", "SunPKCS11-SCR3310test");
    char[] pin = PIN.toCharArray();
    keyStore.load(null, pin);

        // Init the trustmanager
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(trustStore);

        // Create the client key manager
        LOG.info("Installing keystore with pin");
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("SunX509");
        keyManagerFactory.init(clientKeyStore, clientKeyPassword.toCharArray());        
        
        sslContext.init(keyManagerFactory.getKeyManagers(), tmf.getTrustManagers(), null);

        // Init SSL context
        SSLSocketFactory socketFactory = sslContext.getSocketFactory();
        

        URL url = new URL(urlString);
        URLConnection connection = url.openConnection();
        if (connection instanceof HttpsURLConnection) {
            LOG.info("Connection is HTTPS");
            ((HttpsURLConnection) connection).setSSLSocketFactory(socketFactory);
        }
        
        // Send the request.
        connection.connect();

        InputStreamReader in = new InputStreamReader((InputStream) connection.getContent());
        ...

そして、返されたエラーは、サーバーが 403 を返すというものです。おそらく、クライアントがクライアント証明書を送信しなかったためです。

4

2 に答える 2

3

サーバーへの認証に使用する必要のある証明書がわかっているので、X509ExtendedKeyManagerを拡張し、chooseClientAlias()メソッドをオーバーライドして常にその証明書のエイリアスを返すことにより、クライアントにその特定の証明書を送信させることができます。コード:

public class MyX509KeyManager extends X509ExtendedKeyManager
  {
    X509KeyManager defaultKeyManager;

    public MyX509KeyManager(X509KeyManager inKeyManager) {
        defaultKeyManager = inKeyManager;
    }

    public String chooseEngineClientAlias(String[] keyType,
            Principal[] issuers, SSLEngine engine) {
        return "<Alias of my cert>";
    }

    @Override
    public String chooseClientAlias(String[] strings, Principal[] prncpls, Socket socket) {
        return "<Alias of my cert>";
    }

    @Override
    public String[] getClientAliases(String string, Principal[] prncpls) {
        return defaultKeyManager.getClientAliases(string, prncpls);
    }

    @Override
    public String[] getServerAliases(String string, Principal[] prncpls) {
        return defaultKeyManager.getServerAliases(string, prncpls);
    }

    ...

ご覧のとおり、オーバーライドしたいもの以外は、defaultKeyManagerを使用します。次に、これをsslContextで使用するには、次のようにします。

// clientKeyStore is initialized elsewhere from the SmartCard
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("SunX509");
keyManagerFactory.init(clientKeyStore, clientKeyPassword.toCharArray());

MyX509KeyManager customKeyManager = new MyX509KeyManager((X509KeyManager) keyManagerFactory.getKeyManagers()[0]);
sslContext.init(new KeyManager[] {customKeyManager}, tmf.getTrustManagers(), null);
于 2012-08-01T15:39:37.210 に答える
3

サーバーから送信された CA リストの一部をこの質問にコピーしただけのように見えますがCN=DOD CA-30, OU=PKI, OU=DoD, O=U.S. Government, C=US、このリストには含まれていないと思います。

チェーンに欠けているように見えるのは、この証明書です(後で言及します):

  Subject: CN=DOD CA-30, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Issuer:  CN=DoD Root CA 2, OU=PKI, OU=DoD, O=U.S. Government, C=US
  Algorithm: RSA; Serial number: 0x1b5
  Valid from Thu Sep 08 10:59:24 CDT 2011 until Fri Sep 08 10:59:24 CDT 2017

クライアントのトラストストアに証明書をインポートしても、クライアントが送信する証明書にはまったく影響しません。クライアント証明書 (およびその秘密鍵) は、クライアントキーストアに設定する必要があります。さらに、クライアント証明書チェーンを送信する場合 (サーバーがリストでこの中間 CA 証明書を提供しない場合、ここで必要になります)、完全なチェーンをその証明書エントリに関連付ける必要があります。他の証明書をキーストアに入れるだけでは十分ではありません。

これを修正するには、クライアント証明書チェーンを使用してキーストア エントリを構成する必要があります。これは、この回答で説明されているように実行できます。ただし、これが PKCS#11 経由でアクセスされるハードウェア トークンであるという事実により、これが少し複雑になる可能性があります (おそらく、Java から独立した別の証明書管理ツールがカードに付属している可能性があります)。

于 2012-07-31T16:26:46.597 に答える