我正在尝试在.NET和Java之间创建SSL Socket服务器/客户端。在这种情况下,我的SSL Socket服务器将在.net中运行,而客户端则在Linux下的Java中运行。我的问题是,在握手期间连接失败,特别是当服务器请求客户端证书时,客户端无法发送回复并且连接失败。
在.NET中,我使用sslStream建立连接,在Java中,我使用标准SSLSocket。以下是一些代码片段,但这是我目前为止的所有内容:
在服务器端(Windows),我在MMC下的个人/证书文件夹中有一个私有证书。我从客户端获得了一个公共证书,它位于受信任的人员/证书下。这两个证书都由同一CA颁发。两个证书的证书链具有多个级别,但对于两个证书来说是相同的。链中的根级别证书也安装在受信任的认证机构/证书文件夹中。
在客户端(Linux)上,我有一个密钥库,其中包含与服务器安装的公共证书匹配的私有证书。我有一个信任库,其中包含服务器的公共证书,与服务器的私有证书匹配。
在服务器端(.net)上,我使用Socket进行异步读取,然后将其包装到SSLStream中,代码片段如下:
客户端代码基本上是标准代码:
在.NET中,我使用sslStream建立连接,在Java中,我使用标准SSLSocket。以下是一些代码片段,但这是我目前为止的所有内容:
在服务器端(Windows),我在MMC下的个人/证书文件夹中有一个私有证书。我从客户端获得了一个公共证书,它位于受信任的人员/证书下。这两个证书都由同一CA颁发。两个证书的证书链具有多个级别,但对于两个证书来说是相同的。链中的根级别证书也安装在受信任的认证机构/证书文件夹中。
在客户端(Linux)上,我有一个密钥库,其中包含与服务器安装的公共证书匹配的私有证书。我有一个信任库,其中包含服务器的公共证书,与服务器的私有证书匹配。
在服务器端(.net)上,我使用Socket进行异步读取,然后将其包装到SSLStream中,代码片段如下:
NetworkStream ns = new NetworkStream(socket, false);
SslStream ssl = new SslStream(ns, true);
ssl.AuthenticateAsServer(serverCertificate, true, SslProtocols.Default, true);
客户端代码基本上是标准代码:
SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory.getDefault();
InetAddress addr = InetAddress.getByName(servername);
SSLSocket socket = (SSLSocket) factory.createSocket(addr,port);
socket.setUseClientMode(true);
socket.setNeedClientAuth(true);
socket.setWantClientAuth(true);
socket.startHandshake();
os = new DataOutputStream(socket.getOutputStream());
is = new DataInputStream(socket.getInputStream());
byte[] outBuf = new byte[50];
os.write("SEND SOMETHING".getBytes("UTF-8"));
is.read(outBuf);
在Java中,我已经设置了正确的变量来指向带有密码的信任和密钥存储。
现在,按照标准的SSL握手协议,以下是发生的事情:
- 客户端Hello
- 服务器Hello
- 服务器发送公共证书
- 客户端使用信任存储中的证书与公共证书匹配
- 服务器发送证书请求
- 随着证书请求,服务器发送一个有效CA列表,在此列表中仅发送我的根CA(包括其他众所周知的CA的长列表)。
- 客户端证书为空。
- 服务器从客户端接收到一个空证书,因此关闭连接。
就是这样,客户端不会向服务器发送有效证书。我有一些问题:
有人遇到过这样的问题吗?关于服务器(Windows)发送的CA列表,.NET如何确定要向客户端发送什么?是否有一种方法可以修改该列表?我需要在CA列表中发送用于签署我的证书链中的所有机构还是仅需要根机构即可?
我是否在代码的任一侧漏掉了什么?
任何帮助将不胜感激。