Lösen Sie die öffentlichen Schlüssel in Reply und Keystore Don't Match Error in Java auf

1. Fehlerbeschreibung, Ursachen und mögliche Lösungen für den Fehler Öffentliche Schlüssel in Antwort und Schlüsselspeicher stimmen nicht überein.
2. Beheben Sie den Fehler Öffentliche Schlüssel in Antwort und Schlüsselspeicher stimmen nicht überein in Java

Das heutige Tutorial behandelt den Fehler keytool error: java.lang.Exception: Public keys in reply and keystore don't match. Es hebt auch die möglichen Gründe hervor, die zu diesem Fehler führen.

Außerdem lernen wir die verschiedenen Lösungen kennen, mit denen wir diesen Fehler beheben können.

Fehlerbeschreibung, Ursachen und mögliche Lösungen für den Fehler Öffentliche Schlüssel in Antwort und Schlüsselspeicher stimmen nicht überein.

Wir werden versuchen, auf den unter Port 443 gehosteten Webdienst zuzugreifen. Der Dienstanbieter hat drei Zertifikate freigegeben: ABCD.cer, CCA_Certificate.cer und CA_Certificate.cer.

Wir müssen sie alle zum KeyStore hinzufügen, indem wir eine Formularkette für die SSL-Kommunikation erstellen. Die Schritte, die wir in diesem Artikel befolgt haben, sind unten in sequentieller Reihenfolge aufgeführt.

An diesem Punkt haben wir die Fehlermeldung keytool error: java.lang.Exception: Public keys in reply and keystore don't match erhalten. Was hat es mit diesem Fehler auf sich? Warum haben wir dieses Problem?

Wir bekommen dieses Problem aus verschiedenen Gründen, die unten aufgeführt sind:

1. Wir erhalten diesen Fehler, wenn wir versuchen, ein Zertifikat mit einem anderen Schlüsselpaar zu generieren.
2. Dieser Fehler tritt auf, wenn wir beim Importieren eines Zertifikats und beim Erstellen des JKS-Speichers denselben Alias verwendet haben.
3. Manchmal führt auch die Installation von Zertifikaten in der falschen Reihenfolge zu diesem Fehler.
4. Wir gehen dieses Problem auch durch, wenn das Zertifikat der Root-CA in der Kette fehlt.

Jetzt geht es darum, wie man es ausrottet. Sehen wir uns das im folgenden Abschnitt an.

Beheben Sie den Fehler Öffentliche Schlüssel in Antwort und Schlüsselspeicher stimmen nicht überein in Java

In unserem Szenario leitet der von uns verwendete Link an, wie wir einen SSL-Schlüsselspeicher für den Server erstellen können, was nicht das ist, was wir erreichen möchten. Wir haben mit der Erstellung eines neuen Schlüsselpaars begonnen.

Als Nächstes haben wir KeyStore ein vertrauenswürdiges Zertifikat hinzugefügt, KeyStore ein weiteres vertrauenswürdiges Zertifikat hinzugefügt und dann versucht, das SSL-Zertifikat des Servers für unser Schlüsselpaar zu importieren.

An diesem Punkt scheitern wir, weil das generierte SSL-Zertifikat für ein völlig anderes Schlüsselpaar gilt. Die drei Zertifikate, die wir haben, umfassen die folgenden:

1. Das SSL-Zertifikat des Webdienstes
2. Ein CA-Zertifikat, das ein SSL-Zertifikat signiert hat
3. Ein Stammzertifikat, das eine Zertifizierungsstelle signiert hat

Jetzt müssen wir den Vertrauensanker zu unserem TrustStore hinzufügen. Standardmäßig ist es ${JAVA_HOME}/jre/lib/security/cacerts, was zur Folge hat, dass unser Client das SSL-Zertifikat eines Webservices akzeptiert.

Denken Sie daran, dass der SSL-Server während des SSL-Handshakes eine ganze Kette mit Ausnahme des Stammzertifikats an einen Client sendet. Daher müssen wir unserem Truststore wie folgt ein Stammzertifikat hinzufügen.

keytool -import -keystore ${JAVA_HOME}/jre/lib/security/cacerts -file CCA_Certificate.cer -alias CCARoot

Einige zusätzliche Schritte sind unerlässlich, wenn ein Webdienst eine SSL-Client-Authentifizierung benötigt. Wenn wir die Client-Authentifizierung noch nie erwähnt haben, ist dies unnötig.

So wird der Fehler in unserem Fall behoben, aber es gibt andere Lösungen, die wir ausprobieren können, wenn wir uns in einer anderen Situation befinden.

1. Wir müssen das Zertifikat mit demselben tatsächlichen Schlüsselpaar erneut generieren, um diesen Fehler zu beheben.
2. Es gibt Situationen, in denen der Fehler durch die Verwendung desselben Alias beim Erstellen des JKS-Speichers und beim Importieren des Zertifikats verursacht wird. Dann müssen wir den Alias ändern, um den Fehler zu beheben.
3. Stellen Sie sicher, dass das Zertifikat der Root-CA nicht in der Kette fehlt.