如果您希望系统使用客户端证书身份验证,则需要
服务器请求(或要求)客户证书。这是通过
setWantClientAuth(true)
在服务器套接字(或setNeedClientAuth
)上进行设置来完成的。您还需要服务器公布它接受的CA,通常通过使用服务器上的信任库来完成,该信任库包含颁发客户端证书链的CA(这似乎是您通过设置javax.net.ssl.trustStore*
在服务器上)。要使用包含客户端证书(如果有中间CA的话,可以是链)的密钥库配置的客户端。可以通过设置
javax.net.ssl.keyStore*
(可能会影响其他连接)或使用与KeyManagerFactory
在服务器端相同的方式来完成此操作。
如果您使用
setWantClientAuth(true),则可能仍未收到错误,因为服务器将接受没有客户端证书的连接(然后服务器将检查
SSLSession的对等证书以查看是否有证书)。
setNeedClientAuth(true)客户端不提供证书时将断开连接。
