SSL рукопожатие с использованием самоподписанных сертификатов и SSLEngine (JSSE)

Мне было поручено реализовать собственный / автономный веб-сервер Java, который может обрабатывать сообщения SSL и не-SSL на одном и том же порту.

Я реализовал сервер NIO, и он довольно хорошо работает для запросов без SSL. У меня чертовски много времени с частью SSL и я мог бы действительно использовать некоторые рекомендации.

Вот что я сделал до сих пор.

Чтобы различать сообщения SSL и не-SSL, я проверяю первый байт входящего запроса, чтобы увидеть, является ли это сообщением SSL/TLS. Пример:

   byte a = read(buf);
   if (totalBytesRead==1 && (a>19 && a<25)){
       parseTLS(buf);
   }

В методе parseTLS() я создаю экземпляр SSLEngine следующим образом:

   java.security.KeyStore ks = java.security.KeyStore.getInstance("JKS");
   java.security.KeyStore ts = java.security.KeyStore.getInstance("JKS");

   ks.load(new java.io.FileInputStream(keyStoreFile), passphrase);
   ts.load(new java.io.FileInputStream(trustStoreFile), passphrase);

   KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
   kmf.init(ks, passphrase);

   TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
   tmf.init(ts);

   SSLContext sslc = SSLContext.getInstance("TLS");     
   sslc.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);


   SSLEngine serverEngine = sslc.createSSLEngine();
   serverEngine.setUseClientMode(false);
   serverEngine.setEnableSessionCreation(true);
   serverEngine.setWantClientAuth(true);

После создания экземпляра SSLEngine я обрабатываю входящие данные, используя методы unwrap/wrap, используя код из официальных примеров JSSE:

   log("----");

   serverResult = serverEngine.unwrap(inNetData, inAppData);
   log("server unwrap: ", serverResult);
   runDelegatedTasks(serverResult, serverEngine);

   log("----");

   serverResult = serverEngine.wrap(outAppData, outNetData);
   log("server wrap: ", serverResult);
   runDelegatedTasks(serverResult, serverEngine);

Первая часть рукопожатия, кажется, работает просто отлично. Клиент отправляет сообщение о рукопожатии, а сервер отвечает сообщением с 4 записями:

handshake (22)
- server_hello (2) 
- certificate (11) 
- server_key_exchange (12)
- certificate_request (13) 
- server_hello_done (14)

Далее клиент отправляет сообщение из трех частей:

handshake (22)
 - certificate (11)
 - client_key_exchange (16)

change_cipher_spec (20)
 - client_hello (1)

handshake (22)
 *** Encrypted Message ****

SSLEngine разворачивает клиентский запрос и анализирует записи, но метод обертки выдает 0 байтов с состоянием рукопожатия OK/NEED_UNWRAP. Другими словами, мне нечего отправлять обратно клиенту, и рукопожатие замирает.

Вот где я застрял.

В отладчике я вижу, что SSLEngine, в частности ServerHandshaker, не находит никаких сертификатов одноранговых узлов. Это довольно очевидно, когда я смотрю на запись сертификата от клиента длиной 0 байт. Но почему?

Я могу только предположить, что с ответом HelloServer что-то не так, но, похоже, я не могу это понять. Сервер, похоже, отправляет действительный сертификат, но клиент ничего не отправляет обратно. Есть ли проблема с моим хранилищем ключей? Или это трастовый магазин? Или это как-то связано с тем, как я создаю экземпляр SSLEngine? Я в тупике.

Пара других моментов:

• Хранилище ключей и доверенных сертификатов, указанное в приведенном выше фрагменте кода, было создано с использованием следующего учебного пособия: http://www.techbrainwave.com/?p=953
• Я использую Firefox 10 и IE 9 в качестве клиента для тестирования сервера. Одинаковые результаты для обоих веб-клиентов.
• Я использую Sun/Oracle JDK 6 и Java Secure Socket Extension (JSSE), которые поставляются в комплекте с ним.

Я с нетерпением жду ваших рекомендаций, но, пожалуйста, не говорите мне, что я чокнутый, не использую Netty, Grizzly или какое-либо другое существующее решение. Это просто не вариант в настоящее время. Я просто хочу понять, что я делаю не так.

Заранее спасибо!