Java HTTPS 客户端证书认证

终于设法解决了所有问题，所以我会回答我自己的问题。这些是我用来解决我的特定问题的设置/文件；

客户端的密钥库 是一个 PKCS#12 格式 的文件，其中包含

1. 客户端的 公共 证书（在本例中由自签名 CA 签名）
2. 客户端的 私钥

为了生成它，我使用了 OpenSSL 的 pkcs12 命令，例如；

 openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name "Whatever"

提示： 确保您获得最新的 OpenSSL， 而不是 0.9.8h 版本，因为它似乎存在一个错误，该错误不允许您正确生成 PKCS#12 文件。

当服务器明确请求客户端进行身份验证时，Java 客户端将使用此 PKCS#12 文件向服务器提供客户端证书。请参阅 有关 TLS 的维基百科文章， 了解客户端证书身份验证协议实际工作原理的概述（也解释了为什么我们需要此处的客户端私钥）。

客户端的信任 库是一个直接的 JKS 格式 文件，其中包含 根 或 中间 CA 证书。这些 CA 证书将决定您将被允许与哪些端点通信，在这种情况下，它将允许您的客户端连接到提供由信任库的 CA 之一签名的证书的任何服务器。

例如，要生成它，您可以使用标准的 Java keytool；

 keytool -genkey -dname "cn=CLIENT" -alias truststorekey -keyalg RSA -keystore ./client-truststore.jks -keypass whatever -storepass whatever
keytool -import -keystore ./client-truststore.jks -file myca.crt -alias myca

使用此信任库，您的客户端将尝试与所有提供由 myca.crt 标识的 CA 签名的证书的服务器进行完整的 SSL 握手。

以上文件仅供客户使用。当您还想设置服务器时，服务器需要自己的密钥和信任库文件。可以在 这个网站 上找到为 Java 客户端和服务器（使用 Tomcat）设置一个完整工作示例的很好的演练。

问题/备注/提示

1. 客户端证书身份验证 只能由服务器强制执行。
2. （ 重要！ ）当服务器请求客户端证书（作为 TLS 握手的一部分）时，它还将提供受信任的 CA 列表作为证书请求的一部分。如果您希望出示用于身份验证的客户端证书 未 由这些 CA 之一签名，则根本不会出示（在我看来，这是一种奇怪的行为，但我确信这是有原因的）。这是我出现问题的主要原因，因为对方没有正确配置他们的服务器来接受我的自签名客户端证书，我们认为问题出在我这边，因为我没有在请求中正确提供客户端证书。
3. 获取 Wireshark。它具有出色的 SSL/HTTPS 数据包分析功能，将极大地帮助调试和发现问题。它与 -Djavax.net.debug=ssl 类似，但结构更清晰，如果您对 Java SSL 调试输出感到不舒服，（可以说）更容易解释。
4. 完全可以使用 Apache httpclient 库。如果您想使用 httpclient，只需将目标 URL 替换为等效的 HTTPS 并添加以下 JVM 参数（对于任何其他客户端都相同，无论您要使用哪个库通过 HTTP/HTTPS 发送/接收数据） :

    -Djavax.net.debug=ssl
   -Djavax.net.ssl.keyStoreType=pkcs12
   -Djavax.net.ssl.keyStore=client.p12
   -Djavax.net.ssl.keyStorePassword=whatever
   -Djavax.net.ssl.trustStoreType=jks
   -Djavax.net.ssl.trustStore=client-truststore.jks
   -Djavax.net.ssl.trustStorePassword=whatever

原文由 tmbrggmn 发布，翻译遵循 CC BY-SA 2.5 许可协议