Связь клиент-сервер с java socketSSL. Какие сертификаты действительно необходимы

Привет, я работаю над проектом Java с клиентом и сервером, которые используют сокеты SSL с аутентификацией клиента, установленной на true. У меня все работает, но я хотел бы быть уверен, что каждая сторона должна содержать свои jks.

Клиент:
1. Закрытый ключ клиента (key.pem) и открытый ключ (cert.pem).
2. Открытый ключ промежуточного ЦС (cert.pem).

Сервер:
1. Закрытый ключ сервера (key.pem) и открытый ключ (cert.pem).
2. Открытый ключ промежуточного ЦС (cert.pem).

Я много читал о сертификатах, но я не могу понять, какие сертификаты действительно необходимы.

Вопросы:

1. Я читал, что клиент должен содержать только rootCA и его сертификаты, а сервер всю цепочку и его сертификат. Это правильный способ справиться с этим?

2. Я также читал, что на сервере должно быть два jks, один с сертификатами, а другой с доверительной цепочкой. Тогда я действительно не знаю, что каждый из них должен содержать.

3. Код работает, только если сервер и клиент имеют javax.net.ssl.keyStore и javax.net.ssl.trustStore. Если я удалю один из них, они перестанут работать, почему? Из того, что я прочитал, клиент должен уметь работать только с trustStore.

Я знаю, что в Интернете много информации, я провел неделю, читая об этом, но я все еще не могу понять это. Даже если код работает, я действительно хочу знать, почему он работает и как правильно это сделать.

Я создал пакет из учебника на следующем веб-сайте: https://jamielinux.com/docs/openssl-certificate-authority/.

Я использую вторичный проект для проверки подключения к сокету ssl. Это то, что я использую:

Клиент (MWE):

package com.test.ssl;

import java.io.DataInputStream;
import java.io.DataOutputStream;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

import javax.net.ssl.SSLSocket;
import javax.net.ssl.SSLSocketFactory;


public class Client {

    private static final String IP = "127.0.0.1";
    private static final int PORT = 15000;
    private static DataOutputStream os;
    private static DataInputStream is;
    private static final byte messageEnd = 0;

    public static void main(String[] args) {
        System.setProperty("javax.net.ssl.keyStore", "D:\\workspace\\Client_Server_SSL\\clientKeyStore.jks");
        System.setProperty("javax.net.ssl.keyStorePassword", "CertPass");
        System.setProperty("javax.net.ssl.trustStore", "D:\\workspace\\Client_Server_SSL\\clientKeyStore.jks");
        System.setProperty("javax.net.ssl.trustStorePassword", "CertPass");

        SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory.getDefault();

        try {
            SSLSocket sslsocket = (SSLSocket) factory.createSocket(IP, PORT);
            sslsocket.setNeedClientAuth(true);
            is = new DataInputStream(sslsocket.getInputStream());
            System.out.println("Loading output streams");
            os = new DataOutputStream(sslsocket.getOutputStream());
            System.out.println("Streams loaded");
            os.write("Hi\0".getBytes());

            byte character;
            List<Byte> message = new ArrayList<>();
            while ((character = is.readByte()) != messageEnd) {
                message.add(character);
            }

            byte[] messageBytes = byteListToByteArray(message);
            String response = new String(messageBytes);
            System.out.println("Server response: " + response);

        } catch (IOException e) {

            e.printStackTrace();
        }

    }

    public static byte[] byteListToByteArray(List<Byte> bytes) {
        byte[] result = new byte[bytes.size()];
        for (int i = 0; i < bytes.size(); i++) {
            result[i] = bytes.get(i).byteValue();
        }

        return result;
    }

}

Сервер (MWE):

package com.test.ssl;

import java.io.DataInputStream;
import java.io.DataOutputStream;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

import javax.net.ssl.SSLServerSocket;
import javax.net.ssl.SSLServerSocketFactory;
import javax.net.ssl.SSLSocket;

public class Server {

    private static boolean serverListening = true;
    private static SSLServerSocket sslserversocket;
    private static final int PORT = 15000;
    private static DataInputStream is;
    private static DataOutputStream os;

    public static void main(String[] args) {
        System.setProperty("javax.net.ssl.keyStore", "D:\\workspace\\Client_Server_SSL\\serverKeyStore.jks");
        System.setProperty("javax.net.ssl.keyStorePassword", "CertPass");
        System.setProperty("javax.net.ssl.trustStore", "D:\\workspace\\Client_Server_SSL\\serverKeyStore.jks");
        System.setProperty("javax.net.ssl.trustStorePassword", "CertPass");

        SSLServerSocketFactory factory = (SSLServerSocketFactory) SSLServerSocketFactory.getDefault();

        try {
            sslserversocket = (SSLServerSocket) factory.createServerSocket(PORT);
             sslserversocket.setNeedClientAuth(true);
            while (serverListening) {
                System.out.println("Waiting for client");
                // Accept return a new socket to handle the client.
                SSLSocket sslsocket = (SSLSocket) sslserversocket.accept();

                is = new DataInputStream(sslsocket.getInputStream());
                os = new DataOutputStream(sslsocket.getOutputStream());
                System.out.println("Client connected");

                List<Byte> message = new ArrayList<>();
                byte character;

                while ((character = is.readByte()) != 0) {
                    message.add(character);
                }

                byte[] messageBytes = byteListToByteArray(message);
                String response = new String(messageBytes);
                System.out.println("Client sad: " + response);

                os.write("Welcome\0".getBytes());
            }
        } catch (IOException e) {
            System.err.println("Exception: " + e);
        }

    }

    public static byte[] byteListToByteArray(List<Byte> bytes) {
        byte[] result = new byte[bytes.size()];
        for (int i = 0; i < bytes.size(); i++) {
            result[i] = bytes.get(i).byteValue();
        }

        return result;
    }

}

Пакетный сценарий:

OpenSSL загружен с: https://slproweb.com/products/Win32OpenSSL.html
Скопировал папку bin в отдельную папку, и добавил туда батник. Openssl.cnf — это копия того, что есть в гайде по первой ссылке.

@echo on

cd /D %~dp0

REM could not create all subfolder at onces, I got a syntax error when trying root\ca\{certs,crl,newcerts,private}
mkdir root\ca\certs
mkdir root\ca\crl
mkdir root\ca\newcerts
mkdir root\ca\private
type NUL > root\ca\index.txt
echo 1000 > root\ca\serial
REM tried to use type but it was not working.
copy "%~dp0ConfigurationFiles\openssl_ca_test.cnf" root\ca\openssl.cnf

@echo ______________Creating CA

openssl genrsa -aes256 -out root/ca/private/ca.key.pem -passout pass:CAPassword  4096

openssl req -config root/ca/openssl.cnf -key root/ca/private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out root/ca/certs/ca.cert.pem -passin pass:CAPassword

openssl x509 -noout -text -in root/ca/certs/ca.cert.pem

@echo ______________INTERMEDIATE CERTIFICATES

mkdir root\ca\intermediate\certs
mkdir root\ca\intermediate\crl
mkdir root\ca\intermediate\newcerts
mkdir root\ca\intermediate\private
mkdir root\ca\intermediate\csr
type NUL > root\ca\intermediate\index.txt
echo 1000 > root\ca\intermediate\serial
echo 1000 > root\ca\intermediate\crlnumber
copy "%~dp0ConfigurationFiles\openss_intermediate_test.cnf" root\ca\intermediate\openssl.cnf

openssl genrsa -aes256 -out root/ca/intermediate/private/intermediate.key.pem -passout pass:InterMPassword 4096

openssl req -config root/ca/intermediate/openssl.cnf -new -sha256 -key root/ca/intermediate/private/intermediate.key.pem -out root/ca/intermediate/csr/intermediate.csr.pem -passin pass:InterMPassword

openssl ca -config root/ca/openssl.cnf -extensions v3_intermediate_ca -days 3650 -notext -md sha256 -in root/ca/intermediate/csr/intermediate.csr.pem -out root/ca/intermediate/certs/intermediate.cert.pem -passin pass:CAPassword

type root\ca\intermediate\certs\intermediate.cert.pem root\ca\certs\ca.cert.pem > root\ca\intermediate\certs\ca-chain.cert.pem


@echo ______________GENERATING CERTIFICATES

openssl genrsa -aes256 -out root/ca/intermediate/private/www.client.com.key.pem -passout pass:CertPass 2048

openssl genrsa -aes256 -out root/ca/intermediate/private/www.server.com.key.pem -passout pass:CertPass 2048

openssl req -config root/ca/intermediate/openssl.cnf -key root/ca/intermediate/private/www.client.com.key.pem -new -sha256 -out root/ca/intermediate/csr/www.client.com.csr.pem -passin pass:CertPass

openssl req -config root/ca/intermediate/openssl.cnf -key root/ca/intermediate/private/www.server.com.key.pem -new -sha256 -out root/ca/intermediate/csr/www.server.com.csr.pem -passin pass:CertPass

@echo ______________SIGNING CERTIFICATES

openssl ca -config root/ca/intermediate/openssl.cnf -extensions usr_cert -days 7000 -notext -md sha256 -in root/ca/intermediate/csr/www.client.com.csr.pem -out root/ca/intermediate/certs/www.client.com.cert.pem -passin pass:InterMPassword

openssl ca -config root/ca/intermediate/openssl.cnf -extensions server_cert -days 7000 -notext -md sha256 -in root/ca/intermediate/csr/www.server.com.csr.pem -out root/ca/intermediate/certs/www.server.com.cert.pem -passin pass:InterMPassword

@echo ______________DONE

PAUSE