具有tomcat服务器自签名证书的TLS-无法加载PEM客户端证书

我想为我的REST API使用TLS，我计划为它创建自签名证书，并为我的restapi的客户端提供公钥。

我的restapi部署在tomcat catalina容器（tomcat版本8.0.42）上。

我的测试步骤如下，

服务器端

1） 我使用openssl创建了一个自签名证书

openssl genrsa -out restapi.key 2048                                                                   

openssl req -new -key restapi.key -out restapi.csr                                                     

openssl x509 -req -days 24855 -in restapi.csr -signkey restapi.key -out restapi.cert 

2） 已创建PKCS#12bundle

openssl pkcs12 -export -in restapi.cert -inkey restapi.key -out restapi.p12 -name restapi

3） 然后将tomcat配置为启用TLS（keystoreType为“PKCS12”），并启动tomcat

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"                       
        maxThreads="150" 
        SSLEnabled="true" 
        scheme="https" 
        secure="true"                            
        keystoreFile="/Users/prayagupd/restapi.p12" 
        keystoreType="PKCS12"
        keystorePass="prayagupd"                          
        clientAuth="true" 
        sslProtocol="TLS" /> 

客户端

4） 已发送https请求

我有一个客户的pkcs#12文件。我在restapi中看到了opensslx509-pubkey-noout。证书

这就是. p12权限的样子

21765315 -rw-r--r--  1 prayagupd  NORD\Domain Users  2596 Aug 24 01:34 restapi.p12

当我发送https请求失败，以下错误（与curl 7.55.1）

curl -v --cert restapi.p12 https://localhost:8443/restapi/health
*   Trying ::1...
* TCP_NODELAY set
* Connected to localhost (::1) port 8443 (#0)
* ALPN, offering http/1.1
* could not load PEM client certificate, OpenSSL error error:0906D06C:PEM routines:PEM_read_bio:no start line, (no key found, wrong pass phrase, or wrong file format?)
* Closing connection 0
curl: (58) could not load PEM client certificate, OpenSSL error error:0906D06C:PEM routines:PEM_read_bio:no start line, (no key found, wrong pass phrase, or wrong file format?)

$ curl --cert restapi.p12:restapi https://localhost:8443/restapi/health
curl: (58) could not load PEM client certificate, OpenSSL error error:0906D06C:PEM routines:PEM_read_bio:no start line, (no key found, wrong pass phrase, or wrong file format?)

如果我绕过TLS，它就会工作，

$ curl --insecure https://localhost:8443/restapi/health
{"id":3,"eventId":"config_sucks","status":"Sky is green"}

openssl s_客户端抛出ssl握手失败，

$ openssl s_client -connect localhost:8443 -showcerts
CONNECTED(00000003)
59281:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/OpenSSL098/OpenSSL098-59.60.1/src/ssl/s23_lib.c:185:

笔记

我发现了一个SO资源-Tomcat 7的相互认证，这很好地解释了建立TLS通信的原因。但是具有相同问题的无法加载PEM客户端证书。这是我的代码Tlsv1.2