3回答

饮歌长啸

问题#1：我可以将多个证书（私钥）存储在密钥库中，以便稍后加载到我的 FIX 引擎中吗？就 Java 而言，您绝对可以在一个密钥库文件或其他存储对象中拥有多个私钥条目，每个私钥条目都包含一个私钥以及证书或（通常）链。（请注意，如果您使用 PKCS12与其他软件交换，其他软件可能不支持一个 PKCS12 中的多个条目。如果您使用 PKCS12 只是为了提高 Java 中的安全性，或者为了消除 j9+ 中的警告，则不必担心。）我不知道您使用的是什么 FIX 引擎，也不知道它如何处理 TLS（以前称为 SSL）的密钥和证书信息（或者实际上它如何处理 TLS）。如果它只是将密钥库文件（或流）加载为 KeyStore 对象，则适用上述 Java 功能。如果它做了其他事情，它能做什么取决于其他事情。问题#2：如果问题#1 的答案是肯定的，那么当 SSL 上下文与服务器建立 SSL 连接时，SSL 上下文将如何在 SSL 握手期间选择客户端证书？在 TLS 协议中，当服务器请求客户端使用证书时，它会指定算法约束（1.2 中的叶密钥算法和/或 1.2 和 1.3 中的链签名算法），并且可以指定所需的证书颁发机构 (CA) 列表）（可能已颁发链中的任何证书）。如果您的客户端（FIX 引擎）使用 TLS (JSSE) 的 Java 标准实现及其标准（默认）“SunX509”KeyManager，则会从密钥库中选择一个满足服务器上述约束的条目；如果您选择或配置“NewSunX509”或“PKIX”KeyManager，它还会检查为您的 JVM 定义的任何算法约束（例如，自 2017 年左右开始，Oracle JVM 禁止使用基于 MD5 或 SHA1 的签名的证书，或小于 1024 的 RSA 密钥位），并优先考虑证书未过期且不具有不适当的 KeyUsage 或 ExtendedKeyUsage 扩展的条目。在多个可接受或首选条目中，选择是任意的——但是密钥库实现枚举了它们。大多数服务器支持所有标准（可能是且未过时的）算法，并且通常无法以此来区分。如果服务器接受来自 Digicert、GoDaddy、LetsEncrypt 等“公共”CA 的证书，这些证书也不太可能不同，但如果它使用特定于该服务器或其运营商的 CA（或可能几个），则此类 CA 名称将通常是唯一的，因此只会为该服务器选择密钥和证书。如果您的客户端使用自定义 KeyManager——无论是在应用程序中显式使用还是通过中间件（例如 Apache HttpClient）——它可以执行不同的操作。它甚至可以选择使用服务器将拒绝的密钥和证书，尽管这通常被认为没有用。如果您的客户端使用不同的 TLS 实现，则可以使用标准 KeyManager 结构，可能使用上面的选项，或者可以执行其他任何操作。

0 0

0

慕容3067478

如果您使用 spring 框架，您可以通过添加来指定您喜欢选择的证书别名-Dserver.ssl.key-alias=your_preffered_alias

0 0

0

翻翻过去那场雪

您说您有一个连接到 FIX 服务器的 FIX 引擎，然后询问私钥是否可以存储在您的 FIX 引擎的密钥库中。这让我相信 FIX 引擎位于客户端应用程序中。您不应将私钥公开存储在密钥库中。相反，您应该向客户端提供仅包含证书的信任库。

0 0

0