关于java中ssl握手和行为的问题

Question

我正在使用 https 连接到 https 服务器。
具体来说，我使用 apache httpclient 并配置 ssl 上下文以使用我的密钥库和信任库。
我使用的 https 服务器是 IIS7，并配置为需要客户端身份验证。
我想我已经正确设置了。
无论如何，如果我使用对 IIS 有效的密钥库（即客户端证书）配置 httpClent 的 ssl 上下文，那么连接就没有问题。

现在我的问题如下： 如果我不使用任何客户端证书配置 ssl 上下文以发送到 IIS，则不会与服务器建立连接。但让我思考的是，我希望在代码中看到一些 java 异常，这是由于 hanshake 失败警报造成的。
监视wireshark发生的情况，我看不到从IIS到我的应用程序的证书请求，但我注意到在ServerHelloDone之后所有内容都被加密了。
我没想到会这样。我认为握手通常是明文的。
我使用私钥解密痕迹，并看到来自 IIS 的证书请求，但在多次启动和打开新连接之后。
我的应用发送回长度为 0 的证书作为响应，IIS 使用 TLSv1 已完成进行回复。
之后数据包停止（即似乎通信结束）。
我期待着握手警报。

我的问题是，这是它应有的工作方式吗？或者至少是 IIS 的工作方式？
或者，如果我没有看到警报，我的用例有问题吗？

谢谢

Answer 1

听起来 IIS 仅需要某些 URL 的客户端证书（即 example.com/foo，但不是 example.com/bar）。

在最初的握手中，它不知道你请求的是哪个url，所以它不需要证书。当它发现您正在请求受限资源 (/foo) 时，它会重新握手，需要证书。

但是，我仍然希望发生握手失败。

Answer 2

正如我在 答案中所说这个问题，据我记得，IIS是通过重新协商来获取客户端证书的。您应该能够使用 netsh 和 clientcertnegotiate=enable 更改此行为（具体取决于您使用的 IIS 版本）。

您可能也对此类似问题感兴趣。

Answer 3

未能提供证书来响应 CertificateRequest 不是 SSL 协议错误，因此不存在握手错误。 SSL 库添加了“要求”而不是仅仅“需要”客户端证书，如果您不发送证书，它们所能做的就是关闭连接。