我正在尝试在 .NET 和 Java 之间创建 SSL 套接字服务器/客户端。在这种情况下,我的 SSL 套接字服务器将在 .net 中运行,客户端在 Linux 下以 Java 运行。我的问题是在握手期间连接失败,特别是当服务器向客户端请求证书时,客户端无法发回某些内容并且连接失败。
在.net 中,我使用 sslStream 建立连接,在 Java 上,我使用标准 SSLSocket。下面是一些代码片段,但这是我到目前为止所拥有的:
在服务器端 (Windows),我在 MMC 下的个人/证书文件夹中有一个私有证书。我在受信任的人/证书中拥有来自客户的公共证书。两个证书均由同一 CA 颁发。两个证书的证书链都有多个级别,但两者是相同的。链中的根级证书也安装在受信任的证书颁发机构/证书文件夹中。
在客户端 (Linux),我有一个密钥库,其中包含与服务器上安装的公共证书相匹配的私有证书。我有一个信任存储区,其中包含来自服务器的公共证书,与服务器的私有证书相匹配。
在服务器端(.net),我使用一个 Socket 进行异步读取,然后将其包装到 SSLStream 中,代码片段如下:
NetworkStream ns = new NetworkStream(socket, false);
SslStream ssl = new SslStream(ns, true);
ssl.AuthenticateAsServer(serverCertificate, true, SslProtocols.Default, true);
客户端代码几乎是标准代码:
SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory.getDefault();
InetAddress addr = InetAddress.getByName(servername);
SSLSocket socket = (SSLSocket) factory.createSocket(addr,port);
socket.setUseClientMode(true);
socket.setNeedClientAuth(true);
socket.setWantClientAuth(true);
socket.startHandshake();
os = new DataOutputStream(socket.getOutputStream());
is = new DataInputStream(socket.getInputStream());
byte[] outBuf = new byte[50];
os.write("SEND SOMETHING".getBytes("UTF-8"));
is.read(outBuf);
在java中,我已经设置了正确的变量来指向信任和密钥存储及其密码。
现在,按照标准 SSL 握手,会发生以下情况:
- 客户您好
- 服务器问候语
- 服务器发送公共证书
- 客户端将公共证书与信任存储中的证书进行匹配
- 服务器发送证书请求
- 通过证书请求,服务器发送有效 CA 列表,在此列表中仅发送我的根 CA(在其他众所周知的 CA 的长列表中)。
- 客户端证书为空。
- 服务器从客户端收到空证书,从而关闭连接。
就是这样,客户端不会将有效的证书发送回服务器。我对此有一些疑问:
有人经历过这样的事情吗?
关于服务器 (Windows) 发送的 CA 列表,.net 如何确定发送到客户端的内容?有没有办法修改该列表?
我是否需要发送用于在该 CA 列表中签署我的证书的链中的所有授权机构?或者 Root 就足够了?
我的代码两侧是否遗漏了某些内容?
任何帮助将不胜感激。
在
