¿Puede un almacén de claves de Java importar un par de claves generado por OpenSSL?

Question

Genero una clave de certificación con openssl. Aquí es mi comando:

openssl genrsa -des3 -out enc_key.pem 1024

puedo exportar en un archivo CER, a continuación, con herramienta de claves Java importo en almacén de claves de Java (JKS).

El almacén de claves suena bien. Puedo cargar el almacén de claves de mi aplicación java.

El problema es cuando el cliente conectarse al servidor (en este caso es el servidor FTP, no servidor web, y lo uso Mina Apache), a excepción ocurrió:

javax.net.ssl.SSLHandshakeException: SSL handshake failed. at org.apache.mina.filter.ssl.SslFilter.messageReceived(SslFilter.java:433) at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:434) at org.apache.mina.core.filterchain.DefaultIoFilterChain.access$5(DefaultIoFilterChain.java:429)

...

Caused by: javax.net.ssl.SSLHandshakeException: no cipher suites in common at com.sun.net.ssl.internal.ssl.Handshaker.checkThrown(Unknown Source) at com.sun.net.ssl.internal.ssl.SSLEngineImpl.checkTaskThrown(Unknown Source) at com.sun.net.ssl.internal.ssl.SSLEngineImpl.writeAppRecord(Unknown Source) at com.sun.net.ssl.internal.ssl.SSLEngineImpl.wrap(Unknown Source) at javax.net.ssl.SSLEngine.wrap(Unknown Source)

...

Caused by: javax.net.ssl.SSLHandshakeException: no cipher suites in common at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source) at com.sun.net.ssl.internal.ssl.SSLEngineImpl.fatal(Unknown Source)

Hay algunas cosas que quiero preguntar:

1. ¿Cuál es el cifrado de certificación que genero con openssl? ¿Cómo podemos saber? tal vez por la línea de comando openssl xxx?
2. Voy a http://java.sun.com/j2se/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#AppA. Y puse SSL_RSA_xxx en los conjuntos de cifrado habilitados, pero todavía no puedo trabajar (puse SSL_RSA porque el SSL está usando ssl implisit, y genrsa, solo mi opinión genrsa es generar RSA). ¿Es correcto?
3. ¿Alguien sabe la solución?
4. O, cualquiera sabe cómo generar el almacén de claves estándar desde la línea de comando openssl hasta que se pueda usar en la aplicación java (fuera del curso con el cifrado). Porque ahora mismo puedo generar la certificación de openssl y exportar keystore java, pero no sé cuál es el cifrado que utilicé y cómo lo uso en la aplicación java. Nota: Puedo ejecutar si el almacén de claves es generado directamente desde Java. En este momento el problema es si el almacén de claves generado por java keytool de certificación como openssl (y otros tal vez).

¡Cualquier ayuda será apreciada! Gracias

Answer 1

¿Por qué está utilizando OpenSSL para generar el par de llaves? ¿Por qué no usar keytool?

La herramienta genrsa acaba de generar una clave privada. ¿Cómo está creando un certificado correspondiente? ¿Cómo está importando la clave privada en su almacén de claves Java? (Lo pregunto, porque keytool solo puede importar una clave privada desde un almacén de claves existente, y solo desde Java 6 en adelante.)

Sospecho que su problema es que su almacén de claves no contiene una entrada clave (clave privada y certificado correspondiente). Cuando enumera los contenidos del almacén de claves con keytool, ¿cuántas entradas hay? ¿Son entradas clave o entradas de confianza?

---

El servidor necesita acceder a la clave privada para autenticarse. Para importar una clave privada, use Java 6's mejorado keytool.

Después de crear la clave y el certificado con OpenSSL, usar OpenSSL para crear un archivo PKCS # 12 del almacén de claves:

openssl pkcs12 -export -in cert.pem -inkey key.pem > server.p12 

luego convertir esta tienda en un almacén de claves de Java:

keytool -importkeystore -srckeystore server.p12 -destkeystore server.jks -srcstoretype pkcs12 

Ahora use server.jks en su servidor habilitado SSL, que contiene el certificado y la clave privada.