您能帮我解决以下两个问题吗?我有一个连接到 FIX 服务器的 FIX 引擎。有一个 FIX 服务器要求客户端在 SSL 握手期间验证自身身份。它还提供了一个 SSL 证书,我需要在 SSL 握手期间将其用作客户端证书。问题#1:我可以将多个证书(私钥)存储在密钥库中,以便稍后加载到我的 FIX 引擎中吗?问题#2:如果问题#1 的答案是肯定的,那么当 SSL 上下文与服务器建立 SSL 连接时,SSL 上下文将如何在 SSL 握手期间选择客户端证书?注意-我正在考虑这些问题,因为将来可能会有其他服务器也有类似的要求。
3 回答
饮歌长啸
TA贡献1951条经验 获得超3个赞
问题#1:我可以将多个证书(私钥)存储在密钥库中,以便稍后加载到我的 FIX 引擎中吗?
就 Java 而言,您绝对可以在一个密钥库文件或其他存储对象中拥有多个私钥条目,每个私钥条目都包含一个私钥以及证书或(通常)链。(请注意,如果您使用 PKCS12与其他软件交换,其他软件可能不支持一个 PKCS12 中的多个条目。如果您使用 PKCS12 只是为了提高 Java 中的安全性,或者为了消除 j9+ 中的警告,则不必担心。)
我不知道您使用的是什么 FIX 引擎,也不知道它如何处理 TLS(以前称为 SSL)的密钥和证书信息(或者实际上它如何处理 TLS)。如果它只是将密钥库文件(或流)加载为 KeyStore 对象,则适用上述 Java 功能。如果它做了其他事情,它能做什么取决于其他事情。
问题#2:如果问题#1 的答案是肯定的,那么当 SSL 上下文与服务器建立 SSL 连接时,SSL 上下文将如何在 SSL 握手期间选择客户端证书?
在 TLS 协议中,当服务器请求客户端使用证书时,它会指定算法约束(1.2 中的叶密钥算法和/或 1.2 和 1.3 中的链签名算法),并且可以指定所需的证书颁发机构 (CA) 列表)(可能已颁发链中的任何证书)。
如果您的客户端(FIX 引擎)使用 TLS (JSSE) 的 Java 标准实现及其标准(默认)“SunX509”KeyManager,则会从密钥库中选择一个满足服务器上述约束的条目;如果您选择或配置“NewSunX509”或“PKIX”KeyManager,它还会检查为您的 JVM 定义的任何算法约束(例如,自 2017 年左右开始,Oracle JVM 禁止使用基于 MD5 或 SHA1 的签名的证书,或小于 1024 的 RSA 密钥位),并优先考虑证书未过期且不具有不适当的 KeyUsage 或 ExtendedKeyUsage 扩展的条目。在多个可接受或首选条目中,选择是任意的——但是密钥库实现枚举了它们。大多数服务器支持所有标准(可能是且未过时的)算法,并且通常无法以此来区分。如果服务器接受来自 Digicert、GoDaddy、LetsEncrypt 等“公共”CA 的证书,这些证书也不太可能不同,但如果它使用特定于该服务器或其运营商的 CA(或可能几个),则此类 CA 名称将通常是唯一的,因此只会为该服务器选择密钥和证书。
如果您的客户端使用自定义 KeyManager——无论是在应用程序中显式使用还是通过中间件(例如 Apache HttpClient)——它可以执行不同的操作。它甚至可以选择使用服务器将拒绝的密钥和证书,尽管这通常被认为没有用。
如果您的客户端使用不同的 TLS 实现,则可以使用标准 KeyManager 结构,可能使用上面的选项,或者可以执行其他任何操作。
慕容3067478
TA贡献1773条经验 获得超3个赞
如果您使用 spring 框架,您可以通过添加来指定您喜欢选择的证书别名
-Dserver.ssl.key-alias=your_preffered_alias
翻翻过去那场雪
TA贡献2065条经验 获得超13个赞
您说您有一个连接到 FIX 服务器的 FIX 引擎,然后询问私钥是否可以存储在您的 FIX 引擎的密钥库中。这让我相信 FIX 引擎位于客户端应用程序中。您不应将私钥公开存储在密钥库中。相反,您应该向客户端提供仅包含证书的信任库。
添加回答
举报
0/150
提交
取消