Здравствуйте. Есть проблема. С помощью класса Client (который поставляется в samples/JTLS_samples) пытаюсь проверить работоспособность TLS соединения с демо-сайтом КриптоПро: https://www.cryptopro.ru:9443/cryptopro/products/csp/test/tls-cli.asp

Указываю системные параметры:
System.setProperty("javax.net.ssl.trustStore", "E:\\my.truststore");

truststore запаролен, но пароль я не указываю. По хорошему JCP должен ругаться, но нет, он спокойно соединяется и скачивает страничку, на которой написано:

Защищенное соединение установлено
Сертификат пользователя предоставлен

Для отображения данных сертификата пользователя используется функция
Request.ClientCertificate( Key[SubField] )

Далее табличка с параметрами сертификата.

Но! Я ведь не предоставлял никакого сертификата, более того, truststore запаролен и проверка, есть ли в нем сертификат сайта КриптоПро не проверялась.

Так же у меня на машине установлен CSP 3.0 Если заходить по адресу https://www.cryptopro.ru:9443/cryptopro/products/csp/test/tls-cli.asp из IE - все нормально, выскакивает окошко выбора сертификата (в списке есть только сертификаты, выданные УЦ КриптоПро, так и должно быть? Выданные другими УЦ не должны быть в этом списке?). Если сертификат не выбрать - возвращается страничка на которой написано:

Защищенное соединение установлено
Сертификат пользователя не предоставлен

Объясните пожалуйста. Как правильно создавать сокет и как указывать системные параметры, чтобы он на них правильно реагировал. Т.е., чтобы ругался, если сертификата сервера нет в truststore и чтобы передавал на сервер свой сертификат, если он есть в keystore.

Заранее спасибо.

Думаю дело в следующем. У Вас на машине есть контейнер, сделанный на тестовом УЦ Крипто Про, который содержит цепочку сертификатов до центра, т.е. корневой сертификат УЦ Крипто Про. Этот контейнер используется для аутентификации. Корневой сертификат Вашего собственного центра автоматически считается доверенным. Сертификат сервера сделан на том же УЦ, поэтому можно постоить цепочку сертификатов до центра.

Не совсем так. TrustStore не игнорируется. Для TrustStore Вы задаете тип хранилища ( по умолчанию "HDImageStore") и место (в Вашем случае "E:\\my.truststore"). Все сертификаты в этом хранилище считаются доверенными, в том числе сертификаты, которые находятся в контейнерах этого хранилища. JCP tls при установлении соединения пытается построить цепочку от сертификата клиента или сервера до любого доверенного сертификата из указанного Вами хранилища. Если ему это не удалось, соединения не будет. Сертификаты из контейнера не привилегированные, а равные со всеми остальными.
"HDImageStore" состоит из двух частей: контейнеров (не зависит от файла хранилища, а только от пользователя) и списка доверенных серификатов, который хранится в файле. Контейнеры из "HDImageStore" будут присутствовать в хранилище независимо от указанного места. Если Вы хотите исключить сертификаты контейнеров конкретного хранилища, можно выбрать другой тип хранилища.

Только что удивился такому решению, но ок. Это позволяет не перезапускать томкат при выпуске новых сертификатов.
Но как тогда запрещать отдельным сертификатам вход на портал?
Теоретически это делается через «чёрный список» и сайт УЦ, но если у серверной машины закрыт выход в интернет?