猿问

回到首页 个人中心 反馈问题 注册登录
下载APP
首页 课程 实战 体系课 手记 专栏 慕课教程

Java 算法约束检查在大小为 1024 位的密钥 RSA 上失败

使用以下命令生成 java 密钥库后:-keyalg RSA -keysize 2048 并使用以下命令配置 java.security 策略:


jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, MD5withRSA, DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, RSA keySize < 2048

我不断收到错误:


java.security.cert.CertPathValidatorException:对大小为 1024 位的密钥 RSA 的算法约束检查失败


我正在使用以下命令生成 2048 位 RSA 密钥:


keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -keystore star_domain_name.jks -storetype PKCS12 -dname "CN=*.domain_name.com,OU=Engineering, O=Company Name., L=City Name, ST=State, C=US" && keytool -certreq -alias server -file star_domain_name.com.csr -keystore star_domain_name_io.jks

然后我通过以下方式验证上述内容:


openssl s_client -showcerts -connect localhost:443

这表明:


New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384

Server public key is 2048 bit

Secure Renegotiation IS supported

Compression: NONE

Expansion: NONE

No ALPN negotiated

SSL-Session:

    Protocol  : TLSv1.2

我还通过以下方式查看密钥库:


keytool -list -v -keystore star_domain_name.com.jks

这表明:


Certificate fingerprints:

         MD5:  67:4C:04:90:35:etc...etc...

         SHA1: AD:C8:06:74:3A:F1:72:etc...etc...

         SHA256: C5:D6:81:3B:C1:F7:CE:2D:43:91:06:E9:9etc...etc...

Signature algorithm name: SHA256withRSA

Subject Public Key Algorithm: 2048-bit RSA key

我到处都能看到 2048 位 RSA 密钥。但是,当我想在我的 java spring boot 应用程序中使用 java keystore 时,它一直在抱怨:


原因:java.security.cert.CertPathValidatorException:对大小为 1024 位的密钥 RSA 算法约束检查失败

引起:java.security.cert.CertificateException:证书不符合算法约束

一旦我编辑 java.security 文件并从中删除 RSA keySize < 2048 并重新启动应用程序,一切正常......


这是因为我没有导入签名的域证书吗?为什么应用程序会抱怨,尽管我清楚地为 2048 位配置了策略和 java 密钥库?


我的 java 应用程序配置包含:


ssl.key-store: /opt/cert_path/star_domain_name.com.jks

ssl.enabled: true

ssl.key-store-password: the_password_etc...

ssl.key-store-type: PKCS12

ssl.key-alias: tomcat

一旦我编辑 java.security 文件并从中删除 RSA keySize < 2048 并重新启动应用程序,一切正常......


这是因为我没有导入签名的域证书并且密钥库是空的吗?我对此表示怀疑。


为什么应用程序会抱怨,尽管我清楚地将策略文件和 java 密钥库配置为 2048 位?


java.security 文件还包含:


jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024, DSA keySize < 1024

也应该调整吗?


我实际上已经尝试过调整它,但没有效果......


哔哔one
浏览 521回答 2
2回答

幕布斯6054654

只是想补充一下。通过添加启用证书调试后-Djava.security.debug=certpath所以,举个例子:java&nbsp;-Xms64m&nbsp;-Xmx512m&nbsp;-Djava.security.debug=certpath&nbsp;-Dspring.config.location=config.file&nbsp;-jar&nbsp;appname.jar&nbsp;&>>&nbsp;logfile.log&nbsp;&我终于明白为什么 Java 会抱怨了。显然加密的 AWS RDS 实例使用 1024 位的 SSL 证书。当我的 java 应用程序调用它时,它们会失败,因为它们的策略设置为仅接受 RSA < 2048 keySize。我联系了 AWS 以获得进一步的指导。如果有人正在努力解决 Java 证书问题,请使用:-Djava.security.debug=certpath这非常有帮助。谢谢你。
0

慕标5832272

我被这个问题困扰了很长时间,最后,我找到了解决方案。所以每当我修改文件时java.security,它都没有效果,因为有第二个文件java.config(在 Linux 上它位于/etc/crypto-policies/back-ends/java.config:)覆盖java.security.这由属性 (in&nbsp;java.security) 控制:security.useSystemPropertiesFile=true因此,要么将该属性更改为false,要么直接在java.config.这对我有用!
0
打开App,查看更多内容
随时随地看视频慕课网APP

相关分类

Java