1. ホーム
  2. 質問と答え
  3. KeyUsageはデジタル署名を許可していません

KeyUsageはデジタル署名を許可していません

2013-03-12 80 views
5

Java EEプログラムから証明書認証を必要とするホストにHTTPS要求を送信しようとしています。私は適切なキーストアファイルを持っています。インポートされたCAとのトラストストア、証明書が内部にあることを両方のリストに示します。私は以下を参照してください拡張機能の一部に証明書の内容を表示するKeyUsageはデジタル署名を許可していません

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: KeyUsage does not allow digital signatures 
    at ... 

... 

Caused by: sun.security.validator.ValidatorException: KeyUsage does not allow digital signatures 
    at sun.security.validator.EndEntityChecker.checkTLSServer(EndEntityChecker.java:270) 
    at sun.security.validator.EndEntityChecker.check(EndEntityChecker.java:141) 
    at sun.security.validator.Validator.validate(Validator.java:264) 
    at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:326) 
    at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:231) 
    at  sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:126) 
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1319) 
... 29 more

は、しかし、私は、次のエラーメッセージが表示さ

Extensions: 

#1: ObjectId: 2.5.29.14 Criticality=false 
SubjectKeyIdentifier [ 
KeyIdentifier [ 
0000: 33 87 72 1D 09 2F DF FF 1A A7 D1 C0 E1 CF C5 FA 3.r../.......... 
0010: A4 19 54 2E          ..T. 
] 
] 

#2: ObjectId: 2.16.840.1.113730.1.1 Criticality=false 
NetscapeCertType [ 
    SSL client 
] 

#3: ObjectId: 2.5.29.35 Criticality=false 
AuthorityKeyIdentifier [ 
KeyIdentifier [ 
0000: 74 9F 43 07 CC 75 FA D3 D0 13 0F 65 36 CC 4A 9A t.C..u.....e6.J. 
0010: E0 8E 9C 52          ...R 
] 
] 

#4: ObjectId: 2.5.29.31 Criticality=false 
CRLDistributionPoints [ 
    [DistributionPoint: 
    [URIName: http://test.az:7447/Test%20CA.crl] 
]] 

#5: ObjectId: 2.5.29.15 Criticality=true 
KeyUsage [ 
    DigitalSignature 
]

だから私の証明書が含まれていないKeyUsageの[デジタル署名]

例外をスローする場所のコードスニペットは、次のようになります。

private final static int KU_SIGNATURE = 0; 

... 

private void checkTLSServer(X509Certificate cert, String parameter) 
     throws CertificateException { 
    Set<String> exts = getCriticalExtensions(cert); 

    ... 

    } else if (KU_SERVER_SIGNATURE.contains(parameter)) { 
     if (checkKeyUsage(cert, KU_SIGNATURE) == false) { 
      throw new ValidatorException 
        ("KeyUsage does not allow digital signatures", 
        ValidatorException.T_EE_EXTENSIONS, cert); 
     } 
    } 

    ... 
}

checkKeyUsage機能:

private boolean checkKeyUsage(X509Certificate cert, int bit) 
     throws CertificateException { 
    boolean[] keyUsage = cert.getKeyUsage(); 
    if (keyUsage == null) { 
     return true; 
    } 
    return (keyUsage.length > bit) && keyUsage[bit]; 
}

リターン(keyUsage.length>ビット)に失敗& &のkeyUsage [ビット]。

上記の式の結果が偽であるのはなぜですか?

出典

2013-03-12 chaplean

+0

チェーン内のすべての証明書(特にCA証明書)をチェックしましたか? – Bruno

+0

はい、実際には、JRE6を実行する古いサーバーのキーストアとトラストストアを使用していますが、問題はありませんが、JRE7の新しいサーバーは例外をスローします。 – chaplean

+0

'-Djavax.net.debug = all'を使用すると、より正確なものが得られますか? – Bruno

答えて

6

エラーは、実際にサーバーの証明書を確認したことに起因しています。その証明書には、digitalSignatureビットを含まないキー使用セクションがあります。

一部の暗号スイートには、デジタル署名ビット、特にDiffie-Hellman鍵交換(DHE_RSAおよびECDHE_RSA)が必要です。これらの暗号の種類を避けることで、このエラーを回避することができます。それ以外の場合は、サーバ証明書がそれをサポートする必要があります。

出典

2013-12-18 22:04:12

+2

Java内でこれらの暗号を使用することを避けるにはどうすればよいですか? –

関連する問題

 関連する問題