BouncyCastle版本和SSL證書驗收

Question

我有一個SSL證書有問題。我正在使用1.46的BouncyCastle，並且已經證明3.1的成功。和4.0我測試過的硬件。但它在2.3.5上失敗。

我已經檢查了android文檔，並注意到，雖然BC 1.46是成功的3.1和4.04，1.45應該爲2.3.5做的伎倆。

但它沒有。我曾嘗試在BKS數據mystore_gb一直使用bcprov-jdk15-145.jar（我曾嘗試jdk13-16變異與此）生成下面的代碼片段：

KeyStore trusted = KeyStore.getInstance("BKS"); 
InputStream in; 
if (Build.VERSION.SDK_INT<11) { 
    in = context.getResources().openRawResource(R.raw.mystore_gb); 
} else { 
    in = context.getResources().openRawResource(R.raw.mystore); 
} 

try { 
    trusted.load(in, PWD.toCharArray()); 
} finally { 
    in.close(); 
} 

我用它來生成腳本似乎導致好的信息，看起來像：

#!/bin/bash 

echo | openssl s_client -connect $1:443 2>&1 | \ 
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > mycert.pem 


export CLASSPATH=bcprov-jdk15-145.jar 
CERTSTORE=res/raw/mystore_gb.bks 
if [ -a $CERTSTORE ]; then 
    rm $CERTSTORE || exit 1 
fi 
keytool \ 
     -importcert \ 
     -v \ 
     -trustcacerts \ 
     -alias 0 \ 
     -file mycert.pem \ 
     -keystore $CERTSTORE \ 
     -storetype BKS \ 
     -provider org.bouncycastle.jce.provider.BouncyCastleProvider \ 
     -providerpath ./ \ 
     -storepass $2 

那麼，爲什麼不這項工作？我得到

09-06 21：51：36.397：d/ServerBase（26999）：javax.net.ssl.SSLPeerUnverifiedException：沒有對方的證書

我的目標HW擁有的Android 2.3.5，並應容納版本1.45的BouncyCastle。如果我使用1.45生成BC證書並將其部署在我的2.3.5 HW上，那麼應該正確處理它並給我SSL連接。

我在這裏錯過了什麼？

Answer 1

SSLPeerUnverifiedException不是證書驗證問題，這是服務器未發送證書的問題。我懷疑這與BouncyCastle的版本有很大關係。

只要結果是有效的X.509，你生成你的證書的任何內容都不應該與這些有關。在這裏，您似乎正在導入現有的證書，將您在初始連接上獲得的服務器證書作爲參考。

你得到的例外很可能是由於選定的密碼套件和/或SSL/TLS版本的問題。 （你可以看看this question, including comments，雖然我不建議你應該降級到SSLv3）。

你可以嘗試不同的密碼套件和/或SSL/TLS版本，openssl s_client（的-ssl2, -ssl3, -tls1, -no_ssl2, -no_ssl3, -no_tls1例如-cipher選擇或組合，檢查文檔s_client）。其中一些可能是由於服務器配置不正確。