KeyUsage does not allow key encipherment ssl证书验证失败问题

最新推荐文章于 2024-04-12 05:22:18 发布
最新推荐文章于 2024-04-12 05:22:18 发布
阅读量1.2k 收藏 1
点赞数 2
文章标签: ssl java https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/div_java/article/details/124632621
版权
博客详细分析了一次SSL证书验证失败的问题,错误信息显示KeyUsage不允许keyencipherment。通过代码调试,定位到问题在于证书的KeyUsage未配置key_encipherment。解决方案是在证书制作时增加keyUsage配置,例如:keyUsage=DigitalSignature,keyEncipherment。经过验证,此方法有效。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ssl证书验证失败问题

错误信息

javax.net.ssl.SSLHandshakeException: KeyUsage does not allow key encipherment}, caused by {sun.security.validator.ValidatorException: KeyUsage does not allow key encipherment

调查方式底层代码debug查找

通过小编费力的debug,找到了报错代码的位置。
通常解决问题的方式都是找到根源报错位置才可以。
代码片段,只保留需要部分。

package sun.security.validator;

import java.security.cert.CertificateException;
...

class EndEntityChecker {
 	private boolean checkKeyUsage(X509Certificate var1, int var2) throws CertificateException {
        boolean[] var3 = var1.getKeyUsage();
        if (var3 == null) {
            return true;
        } else {
            return var3.length > var2 && var3[var2];
        }
    }
    ...

    private void checkTLSServer(X509Certificate var1, String var2, Set<String> var3) throws CertificateException {
        if (KU_SERVER_ENCRYPTION.contains(var2)) {
            if (!this.checkKeyUsage(var1, 2)) {
                throw new ValidatorException("KeyUsage does not allow key encipherment", ValidatorException.T_EE_EXTENSIONS, var1);
            }
        } else if (KU_SERVER_SIGNATURE.contains(var2)) {
            if (!this.checkKeyUsage(var1, 0)) {
                throw new ValidatorException("KeyUsage does not allow digital signatures", ValidatorException.T_EE_EXTENSIONS, var1);
            }
        } else {
            if (!KU_SERVER_KEY_AGREEMENT.contains(var2)) {
                throw new CertificateException("Unknown authType: " + var2);
            }

            if (!this.checkKeyUsage(var1, 4)) {
                throw new ValidatorException("KeyUsage does not allow key agreement", ValidatorException.T_EE_EXTENSIONS, var1);
            }
        }

        if (!this.checkEKU(var1, var3, "1.3.6.1.5.5.7.3.1") && !this.checkEKU(var1, var3, "1.3.6.1.4.1.311.10.3.3") && !this.checkEKU(var1, var3, "2.16.840.1.113730.4.1")) {
            throw new ValidatorException("Extended key usage does not permit use for TLS server authentication", ValidatorException.T_EE_EXTENSIONS, var1);
        } else if (!SimpleValidator.getNetscapeCertTypeBit(var1, "ssl_server")) {
            throw new ValidatorException("Netscape cert type does not permit use for SSL server", ValidatorException.T_EE_EXTENSIONS, var1);
        } else {
            var3.remove("2.5.29.15");
            var3.remove("2.5.29.37");
            var3.remove("2.16.840.1.113730.1.1");
        }
    }

想必你已经发现了报错的代码位置,就是log日志中的报错信息的位置。

if (KU_SERVER_ENCRYPTION.contains(var2)) {
            if (!this.checkKeyUsage(var1, 2)) {
                throw new ValidatorException("KeyUsage does not allow key encipherment", ValidatorException.T_EE_EXTENSIONS, var1);
            }

报错的原因是KU_SERVER_ENCRYPTION中包含了var2,但是调用checkKeyUsage方法时返回了false,验证失败,所以抛出异常。

 private static final Collection<String> KU_SERVER_ENCRYPTION = Arrays.asList("RSA");

不错var2就是字符串“RSA”.
var2是怎么取到的呢?
这个问题很好,通过小编的debug,发现是再向目标服务第二次握手后走就会走到这段验证的代码,所以应该是从目标服务中的加密套件组ciphers中取到的。
具体过程就不再赘述了。
接下来看认证过程。

 private boolean checkKeyUsage(X509Certificate var1, int var2) throws CertificateException {
        boolean[] var3 = var1.getKeyUsage();
        if (var3 == null) {
            return true;
        } else {
            return var3.length > var2 && var3[var2];
        }
    }

通过上面的认证代码不难看出参数所代表的含义。
var1代表证书信息,var2 就是调用时所传入的int值 2
通过***var1.getKeyUsage()***取出证书KeyUsage中的配置信息。
如果没有配置,不需要验证直接返回true。
如果有配置,则长度要大于var2的值,因为var2是下标,防止数组下标越界的判断。var3的长度是9准定大于2.
数组的值[true, false, false, false …] index 2所对应的数值是false。
所以代入方法,var3[var2] = false, 因为是&&所以返回false。

**var3[var2]**就是KeyUsage中的某个配置项,那是什么呢?怎么配置呢?

package sun.security.x509;
...
public class X509CertImpl extends X509Certificate implements DerEncoder {
...
 public boolean[] getKeyUsage() {
        try {
            String var1 = OIDMap.getName(PKIXExtensions.KeyUsage_Id);
            if (var1 == null) {
                return null;
            } else {
                KeyUsageExtension var2 = (KeyUsageExtension)this.get(var1);
                if (var2 == null) {
                    return null;
                } else {
                    boolean[] var3 = var2.getBits();
                    if (var3.length < 9) {
                        boolean[] var4 = new boolean[9];
                        System.arraycopy(var3, 0, var4, 0, var3.length);
                        var3 = var4;
                    }

                    return var3;
                }
            }
        } catch (Exception var5) {
            return null;
        }
    }

package sun.security.x509;
...
public class KeyUsageExtension extends Extension implements CertAttrSet<String> {
...
   public boolean[] getBits() {
        return (boolean[])this.bitString.clone();
    }
...
 public void set(String var1, Object var2) throws IOException {
        if (!(var2 instanceof Boolean)) {
            throw new IOException("Attribute must be of type Boolean.");
        } else {
            boolean var3 = (Boolean)var2;
            if (var1.equalsIgnoreCase("digital_signature")) {
                this.set(0, var3);
            } else if (var1.equalsIgnoreCase("non_repudiation")) {
                this.set(1, var3);
            } else if (var1.equalsIgnoreCase("key_encipherment")) {
                this.set(2, var3);
            } else if (var1.equalsIgnoreCase("data_encipherment")) {
                this.set(3, var3);
            } else if (var1.equalsIgnoreCase("key_agreement")) {
                this.set(4, var3);
            } else if (var1.equalsIgnoreCase("key_certsign")) {
                this.set(5, var3);
            } else if (var1.equalsIgnoreCase("crl_sign")) {
                this.set(6, var3);
            } else if (var1.equalsIgnoreCase("encipher_only")) {
                this.set(7, var3);
            } else {
                if (!var1.equalsIgnoreCase("decipher_only")) {
                    throw new IOException("Attribute name not recognized by CertAttrSet:KeyUsage.");
                }

                this.set(8, var3);
            }

            this.encodeThis();
        }
    }

通过代码的调用我们找到了KeyUsageExtension 类。
我们通过这个set方法来看,因为我们获取的值准定是先在读取证书的时候已经set了,所以看这块代码才能知道如何控制着数组。
index 为2的值是 key_encipherment
所以说明需要在证书的KeyUsage中添加此项才能通过此项认证,还有一种方式就是不配置KeyUsage.
解决方式在制作证书脚本中增加keyUsage = keyEncipherment

...
keyUsage = Digital Signature, keyEncipherment
...

验证通过!亲测!

Go:深入解析,掌握枚举类型与证书使用(KeyUsage)实践
十年运维开发经验的王义杰在此分享自己的知识和经验
02-21 456
尽管Go没有内置的枚举类型,但通过简单的类型别名和常量,我们可以构建一个强大的枚举系统。KeyUsage的例子只是展示了如何在Go中使用枚举来表示复杂的概念和设置。理解并合理利用这些概念,可以在Go语言的项目中实现更高效和安全的代码设计。
my cloud test bed (by quqi99)
技术并艺术着
03-10 1949
若容器里如果上不了网,如无法访问api.snapcraft.io,是因为lxd容易默认使用了eth1上的dns=10.10.10.1,下面的配置可让eth0, eth1, eth2都默认使用dns=192.168.99.1来避免特色网络对api.snapcraft.io的污染。下列netplan配置创建了br-eth0,也让br-eth0支持wol通过魔术包唤醒,也创建了一个没有dhcp的br-maas用于maas实验。
java数据签名错误,错误:密钥使用不允许数字签名 - Java的小程序+相互SSL
weixin_32578799的博客
02-28 602
We have developed a webbased Java application running in Tomcat under IIS on Windows 2008. The website has 2-way (mutual) SSL enabled in IIS requiring the client to authenticate using a x.509 certific...
java无法验证签名_javaKeyUsage不允许数字签名
weixin_34740753的博客
02-25 1186
我正在尝试从我的Java EE程序向需要证书身份验证的主机发送HTTPS请求.我有一个正确的密钥库文件,信任库和导入的CA,两个列表都显示证书在里面.但是我收到以下错误:javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: KeyUsage does not allow digital sig...
证书体系key usage扩展——Outlook使用证书发送加密签名邮件
weixin_33672400的博客
06-03 1270
网络认证第十二讲作业 一.作业要求测试邮件客户端软件(如Outlook、Foxmail等)是否支持key usage扩展二.使用工具OpenSSL,OutLook,FoxMail三.实验过程 使用OpenSSL生成证书(1). 首先生成私钥pravate.pem在命令行中键入:genrsa -des3 -out private.pem 2048,使用RSA算法生成2048位私钥,并使用3D...
证书中的keyUsage extension
qinghai5068的专栏
11-21 1577
参见 https://superuser.com/questions/738612/openssl-ca-keyusage-extension
IIS网站使用自签名证书,浏览器提示ERR_SSL_KEY_USAGE_INCOMPATIBLE
qq_22842329的博客
01-29 4686
使用 Google Chrome、Microsoft Edge 等 Chrome 系浏览器访问使用自签名证书的 IIS 网站时提示 `ERR_SSL_KEY_USAGE_INCOMPATIBLE` 错误。
SSL/TLS Configuration How-To 是一组指南,它详细说明了如何配置服务器以支持安全套接层(SSL)/传输层安全性(TLS)协议
BLOG域名:programb.blog.youkuaiyun.com
04-24 1525
SSL/TLS Configuration How-To 是一组指南,它详细说明了如何配置服务器以支持安全套接层(SSL)/传输层安全性(TLS)协议。如果你正在使用APR(Apache Portable Runtime)或JSSE(Java Secure Socket Extension)的OpenSSL实现,你可以配置替代引擎来增强或替换默认的SSL功能。其中一个关键点在于访问SSL会话ID,这有助于跟踪客户端与服务器之间的连接状态。
在现代网络安全环境中,即使是在受控的企业内部网络中,数据传输的安全性和隐私保护仍然是至关重要的
BLOG域名:programb.blog.youkuaiyun.com
05-19 439
在现代网络安全环境中,即使是在受控的企业内部网络中,数据传输的安全性和隐私保护仍然是至关重要的。未加密的数据容易受到中间人攻击、窃听以及其他形式的恶意行为影响。因此,采用SSL/TLS技术来保障通信安全显得尤为重要。具体来说,SSL/TLS不仅能够防止敏感信息泄露,还能提供身份验证功能,确保客户端和服务端之间建立的信任关系真实可靠。即便是在防火墙之后运行的应用程序或服务间通讯也需要这样的安全保障机制。
openssl 命令手册
小田的笔记簿
02-26 1697
openssl 命令手册 文章目录openssl 命令手册CACIPHERSCRLCRL2PKCS7DGSTDSADSAPARAMECECPARAMENCERRSTRGENDSAGENPKEYGENRSANSEQOCSPPASSWDPKCS7PKCS8PKCS12PKEYPKEYPARAMPKEYUTLPRIMERANDREQRSAUTLS_CLIENTSESS_IDSMIMESPEEDSPKAC...
手工搭建K8s环境
mackgao的博客
12-10 921
理解Kubernetes(1):手工搭建Kubernetes测试环境 理解Kubernetes系列文章: 手工搭建环境 基本概念和操作 &nbsp;&nbsp; 1. 基础环境准备 准备 3个Ubuntu节点,操作系统版本为 16.04,并做好以下配置: 系统升级 设置 /etc/hosts 文件,保持一致 设置从 0 节点上无密码ssh 其它两个节点 节点名称 IP地址...
Key usage extensions and extended key usage
迷茫的小莱
02-14 2617
转载自IBM的一篇文章 http://publib.boulder.ibm.com/infocenter/domhelp/v8r0/index.jsp?topic=%2Fcom.ibm.help.domino.admin.doc%2FDOC%2FH_KEY_USAGE_EXTENSIONS_FOR_INTERNET_CERTIFICATES_1521_OVER.html Key usa
Go 深入解析,掌握枚举类型与证书使用(KeyUsage)实践_设置证书keyusage
最新发布
2401_84247726的博客
04-12 745
尽管Go没有内置的枚举类型,但通过简单的类型别名和常量,我们可以构建一个强大的枚举系统。KeyUsage的例子只是展示了如何在Go中使用枚举来表示复杂的概念和设置。理解并合理利用这些概念,可以在Go语言的项目中实现更高效和安全的代码设计。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Go语言工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。
密码学专题 openssl的基本概念
CHYabc123456hh的博客
11-15 2855
配置文件 配置文件是OpenSSL的一个基础结构组件,OpenSSL使用一组称为OpenSSLCONF的函数来读取OpenSSL配置文件的信息。OpenSSL提供的主配置文件是opensl.cnf,它集成了OpenSSL所要使用的配置文件选项的大部分内容。此外,OpenSSL还提供了其他一些部分的配置文件,用于专门配置证书请求或者X.509v3证书的扩展项。 OpenSSL的配置文件使用字段的概念分成不同的部分。一般来说,每个字段的开始使用[Section_Name]来标识,直到下一个字段开始或者到达文
java ssl证书代码_Java代码签名证书SSL证书相同吗?
weixin_34116482的博客
02-19 334
但是,越来越多的CA使用这些密钥使用字段颁发证书。当存在时,这些字段限制证书的用法。Java插件检查这些字段是否存在。EndEntityChecker:/*** Check whether this certificate can be used for code signing.* @throws CertificateException if not.*/private void checkC...
密钥用法 增强密钥用法 证书类型
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-27 6125
密钥用法:数字签名 Digital Signature认可签名 Non Repudiation密钥加密 key Encipherment数据加密 Data Enciphe...
linux: 使用openssl查看证书的用途,判断能签发证书
十年运维开发经验的王义杰在此分享自己的知识和经验
02-08 1053
使用OpenSSL查看证书的用途和判断是否能签发证书主要涉及到查看证书中的“Key Usage”和“Extended Key Usage”两个字段。在输出信息中,查找“Key Usage”和“Extended Key Usage”字段。这些字段指示了证书的用途。这意味着证书可以用于数字签名和签发其他证书,并且它被特别指定用于Web服务器和客户端身份验证。通过以上步骤,我们可以了解证书的用途并判断它是否能够签发其他证书
openssl.cnf 参数说明
m0_51514815的博客
05-23 2337
openssl.cnf的文件内容包括了三大部分: 默认的文件配置、 证书请求配置及 证书签发配置。除此之外还可以配置X.509证书的扩展项,在使用OpenSSL函数库时也可以使用配置机制第一段是默认段,一般没有section_name,但不是一定没有,可以自定义有名称的。默认段中定义的是一些公共属性,当搜索一个给定名称的段时,将首先搜索有名称的段,当搜索不到匹配的段后会搜索默认段。以下是默认段的内容。
解决sun.security.validator.ValidatorException
ZZWDN_旺小白的博客
02-27 1252
1、先创建一个类:HttpsUrlValidator import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.net.HttpURLConnection; import java.net.URL; import javax.net.ssl.HostnameVerifier; import javax.net.ssl.HttpsURLConnection;
Docker配置SSL证书实现远程安全连接
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment extendedKeyUsage = clientAuth ``` 然后,使用这个配置文件签名客户端证书: ```bash openssl x509 -req -in client.csr -CA ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值