密钥库证书链长度错误 - 如何以编程方式将整个证书链加载到 Java 密钥库中,以便使用 SSL 身份验证连接到 Kafka?

【问题标题】:Keystore cert chain wrong length - How to load entire cert chain into Java keystore programmatically for connecting to Kafka with SSL auth?密钥库证书链长度错误 - 如何以编程方式将整个证书链加载到 Java 密钥库中,以便使用 SSL 身份验证连接到 Kafka?
【发布时间】:2020-12-10 00:19:31
【问题描述】:

我正在尝试为使用 SSL 身份验证的 Kafka 使用者设置密钥库,但我不断遇到身份验证问题。我有一个不使用密钥库的 Python 示例。所以,我相信我在填充密钥库的方式上做错了。 (注意:我不能只在命令行上执行此操作,因为证书需要按轮换计划进行更改,因此我需要使用 Java 代码自动执行此操作。)

这是我填充密钥库的方式:

String cert = "-----BEGIN CERTIFICATE-----\n" +
        "MIIEmTCCAoGgAwIBAgIUew1ANL9cTyhxLIo1ZpWLdKT4nOwwDQYJKoZIhvcNAQEL\n" +
        ...
        "fjv+XLmCfL1IKqcsEYmEPmyf5Knwk0mO7gtw1fg=\n" +
        "-----END CERTIFICATE-----\n" +
        "-----BEGIN CERTIFICATE-----\n" +
        "MIIFtTCCA52gAwIBAgIUe6eKhfms7ldZ78MxKiMzwFQNhsYwDQYJKoZIhvcNAQEL\n" +
        ...
        "jyDgNvJnm3g5eP6KUm9NNo7Le6lZoZhC3g==\n" +
        "-----END CERTIFICATE-----\n" +
        "-----BEGIN CERTIFICATE-----\n" +
        "MIIG5DCCBMygAwIBAgITKgAABSItHRkNBBF47gAAAAAFIjANBgkqhkiG9w0BAQsF\n" +
        ...
        "CF2TF5vdlOAUtvrJdnYgqNlSQHPAPeBP1runuwCV9ziZBTlra03cFw==\n" +
        "-----END CERTIFICATE-----\n" +
        "-----BEGIN CERTIFICATE-----\n" +
        "MIIF3TCCA8WgAwIBAgITXAAAAALRq61XLgYZigAAAAAAAjANBgkqhkiG9w0BAQ0F\n" +
        ...
        "7ulMCI8RqFm3p32fs//+8o0=\n" +
        "-----END CERTIFICATE-----\n" +
        "-----BEGIN CERTIFICATE-----\n" +
        "MIIFEzCCAvugAwIBAgIQORoOm2GoxqBGK3xSM9br+zANBgkqhkiG9w0BAQ0FADAc\n" +
        ...
        "mBSMIdx3Iw==\n" +
        "-----END CERTIFICATE-----\n";

String privateKey = "-----BEGIN RSA PRIVATE KEY-----\n" +
        "MIIEogIBAAKCAQEAstlhsvxwbG8fVawH++HXq7mrqy9xfjIWwD45JAJSlstBBoBE\n" +
        ...
        "TovqdueB5W7DR0FVYoxmLj3vcG6fy/j9f+O9fb/mo94Ma39Px3I=\n" +
        "-----END RSA PRIVATE KEY-----";

String rootCA = "-----BEGIN CERTIFICATE-----\n" +
        "MIIFEzCCAvugAwIBAgIQORoOm2GoxqBGK3xSM9br+zANBgkqhkiG9w0BAQ0FADAc\n" +
        ...
        "mBSMIdx3Iw==\n" +
        "-----END CERTIFICATE-----";

final PEMParser rootCaParser = new PEMParser(new StringReader(rootCA));
final PEMParser certParser = new PEMParser(new StringReader(certificate));
final PEMParser keyParser = new PEMParser(new StringReader(privateKey));

final X509Certificate rootCa = new JcaX509CertificateConverter().setProvider(new BouncyCastleProvider()).getCertificate((X509CertificateHolder) rootCaParser.readObject());
final X509Certificate cert = new JcaX509CertificateConverter().setProvider(new BouncyCastleProvider()).getCertificate((X509CertificateHolder) certParser.readObject());
final PrivateKey key = new JcaPEMKeyConverter().setProvider(new BouncyCastleProvider()).getKeyPair((PEMKeyPair) keyParser.readObject()).getPrivate();

KeyStore keystore = KeyStore.getInstance("jks");
char[] keyStorePass = config.getKeystorePassword().toCharArray();
char[] trustStorePass = config.getTruststorePassword().toCharArray();
keystore.load(null);

final Certificate[] chain = { cert };
keystore.setKeyEntry("privateKey", key, keyStorePass, chain); 
keystore.setCertificateEntry("CARoot",rootCa);
keystore.setCertificateEntry("localhost", cert);
try (FileOutputStream out = new FileOutputStream(config.getKeystoreLocation())) {
    keystore.store(out, keyStorePass);
}

在测试密钥库时,我注意到私钥(别名为 privatekey)显示的证书链长度为 1。这是不对的,因为实际的证书链的长度应该为 5。所以,我认为链被截断,就像代码没有正确地将证书链解析为 5 个证书,但只解析为一个。

如果我通过运行将证书(带链)附加到私钥:

cat pk cert > pkWithChain.pem

并设置 PKCS12 记录,例如:

openssl pkcs12 -export -in pkWithChain.pem -inkey pk -name pkWithChain > pkWithChain.p12

然后将其导入我的密钥库,例如:

keytool -importkeystore -srckeystore pkWithChain.p12 -destkeystore keystore.jks -srcstoretype pkcs12 -alias pkwithchain

当我像这样检查密钥库中的密钥时:

keytool -list -v -keystore keystore.jks

我手动放在那里的私钥的证书长度为 5,但我通过 Java 放在那里的私钥的证书长度为 1。

如何以编程方式将正确的(整个)证书链放入密钥库? (另外,我还需要做些什么来为 Kafka 正确设置我的密钥库吗?我的 Kafka 配置/设置已被验证为正确。密钥库是问题所在。)

【问题讨论】:

    标签: java ssl apache-kafka bouncycastle keystore


    【解决方案1】:

    首先,您的代码在修复明显的删节后无法编译。它在同一范围内具有String cert =final X509Certificate cert =,以及对未定义的certificate 的引用。我假设第一个cert 应该是certificate。鉴于:

    PEMParser.readObject() 读取一个 PEM 块。这就是为什么它以单数“对象”命名的原因,它是一个、单独、单独而不是复数、多个或多个。

    要读取多个证书(在这种情况下形成一个链),请使用循环,例如:

    /*final*/ PEMParser certParser = new PEMParser(new StringReader(certificate)); // as already
List<Certificate> certlist = new ArrayList<Certificate>();
for( X509CertificateHolder tmp; (tmp = (X509CertificateHolder) certParser.readObject()) != null; )
    certlist.add( new JcaX509CertificateConverter().getCertificate(tmp) ); // don't really need BCprov for this
// add { } if your coding style calls for it
Certificate[] chain = certlist.toArray(new Certificate[certlist.length()]);

    此外,您的rootCA 似乎应该是您链中的最后一个证书。您可以使用chain[chain.length-1],而不是冗余副本。

    或者,您可以使用 JCA 标准 CertificateFactory,而不是 Bouncy 的 PEM 解析,它已经处理多个证书:

    Collection<? extends Certificate> certcoll = CertificateFactory.getInstance("X.509")
    .generateCertificates( new ByteArrayInputStream(certificate.getBytes()) );
    // note Certificates with an s meaning plural, multiple, not limited to one
    // String.getBytes(/*nocharset*/) is often dangerous, but okay FOR PEM
Certificate[] chain = certcoll.toArray(new Certificate[certcoll.length()]);

    PS:有一些方法可以按计划完全或部分自动运行“命令行”程序,但这对 SO 来说是题外话。也可以从 Java 运行和控制“命令行”程序,但你没有问过。

    【讨论】:

    • 对不起,我混合了几个代码块来为 SO 创建 sn-p。这是在 Apache Pulsar 源中运行的,并且由于数据流中断的问题,混合逻辑以按计划运行某些内容将不适用于证书的轮换方式。
    猜你喜欢
    • 2011-10-08
    • 1970-01-01
    • 2013-04-10
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2013-01-02
    • 2016-10-26
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode