SSL：400いいえ必要な証明書が

Question

コードと入力

に送られた私は、SSL接続を確立しようとしていると私は、サーバーからの応答400 No required SSL certificate was sentを取得しています。私は標準的な方法で、例えばhereと記述されているようにこれをやっています。

OkHttpClient client  = new OkHttpClient(); 
    KeyStore keyStoreClient = getClientKeyStore(); 
    KeyStore keyStoreServer = getServerKeyStore(); 
    String algorithm  = ALGO_DEFAULT;//this is defined as "PKIX" 

    KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(algorithm); 
    keyManagerFactory.init(keyStoreClient, PASSWORD_SERVER.toCharArray()); 

    SSLContext sslContext = SSLContext.getInstance("TLS"); 

    TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(algorithm); 
    trustManagerFactory.init(keyStoreServer); 

    sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom()); 

    client.setSslSocketFactory(sslContext.getSocketFactory()); 
    client.setConnectTimeout(32, TimeUnit.SECONDS); // connect timeout 
    client.setReadTimeout(32, TimeUnit.SECONDS); // socket timeout 

    return client; 

そして、ここでは、私がGETリクエストを送信するために使用するコードです：：私は私のコードのサンプルは以下のようになりジャワ8.

を実行

public String get(String url) throws IOException 
{ 
    String callUrl = URL_LIVE.concat(url); 
    Request request = new Request.Builder() 
      .url(callUrl) 
      .build(); 
    Response response = this.client.newCall(request).execute(); 
    return response.body().string(); 
} 

私が有効になって：

System.setProperty("javax.net.debug", "ssl"); 

デバッグメッセージを表示するには、エラー/警告/アラートは表示されません。唯一のことは最後です。

main, called close() 
main, called closeInternal(true) 
main, SEND TLSv1.2 ALERT: warning, description = close_notify 
main, WRITE: TLSv1.2 Alert, length = 26 
main, called closeSocket(true) 

「異常な」ものとして扱うことができるのは唯一のものですが、それは疑いありません。

私が試した：

• 異なるプロトコル有効/無効を。例えば、成功したソケットのためにTLSv1/TLSv1.1を強制する。それを試みるために、私はsslファクトリを特定のプロトコルを無効/有効にする別のファクトリにラップしました。
• SSLv2Helloを無効にしますが、画像は変更されません。
• Oracle policiesインストールする前にいくつかのスキップされたアルゴリズムに関する通知があったため、このインストールは「解決」されましたが、全体的な結果は同じです。
• System.setProperty("sun.security.ssl.allowUnsafeRenegotiation", "true");を設定する - ラメが、また、KeyManagerFactory.getInstance()コールのためのalgorithmとしてKeyManagerFactory.getDefaultAlgorithm()を使用して
• （明らかに「偽」だった）ログAllow unsafe renegotiation: trueに離れたメッセージからのものを変更しませんでした。それは例外Get Key failed: Given final block not properly paddedを発生させ、私が考えている限り、間違ったアルゴリズムが使用されているためです（thisを読んでください）。私のデフォルトのアルゴリズムは次のとおりです。SunX509
• がkeytool -importcert -file /path/to/certificate -keystore keystore.jks -alias "Alias"で私のマシンに直接証明書を追加して、パスワードを設定してSystem.setProperty("javax.net.ssl.trustStore","/path/to/keystore.jks");を経由して私のプログラムでこれを使用した：（私はyesで証明書を信頼し確認した後keytoolにパスワードを設定）System.setProperty("javax.net.ssl.trustStorePassword","mypassword");を。 thisとthisの投稿を参照してください。これでエラーは発生しませんでしたが、問題は解決されませんでした。
• グローバル鍵ストア（JAVA_PATH/jre/lib/security/cacertsにあるもの）に証明書を追加すると、keytool -import -trustcacerts -keystore cacerts -storepass changeit -noprompt -alias Alias -file /path/to/certificate（thisを参照）。インポート操作が成功したようですが、画像は変更されませんでした

また、デバッグには予告もあります：ssl: KeyMgr: choosing key: 1 (verified: OK) - 私はSSLエキスパートではないため、適切かどうかはわかりません。

残念ながら、私は完全な画像を観察することはできませんので、サーバー側のログが表示されません。

質問

何がこの400エラーの理由にすることができ、どのように私は（デバッグ/何か他のものを試してみてください）さらに進めることができますか？どんなヒントも高く評価されます。

Answer 1

サーバーがクライアント側の証明書を要求しています。クライアントマシンに証明書（信頼できる機関によって署名された証明書）をインストールし、プログラムにそれを知らせる必要があります。

通常、サーバーには、組織のITセキュリティまたは一部のグローバルに信頼されるCAによって署名された証明書（「TLSサーバー認証」に設定されたキー目的）があります。同じソースから "TLSクライアント認証"の証明書を取得する必要があります。

WiresharkでTLSハンドシェイクをキャプチャすると、ServerHelloメッセージの後ろに「クライアント証明書要求」が表示され、長さ0の「クライアント証明書」メッセージが返されます。サーバーはこれを拒否します。