我有一个 Java 应用程序,它通过带有 SSL 的套接字连接到另一个 Java 应用程序,因此我的客户端 JVM 已经具有-Djavax.net.ssl.keyStore and -Djavax.net.ssl.trustStore属性设置。
该应用程序需要向需要客户端身份验证的 Web 服务器发出一些 HTTP 请求。我可以使用打开连接URLConnection在 Java 中返回一个HTTPSURLConnectionImpl.
我想要在请求中向 Web 服务器提供的客户端证书与设置为我的 JVM 系统属性的客户端证书不同。有没有办法设置客户端证书。作为请求属性HTTPSURLConnectionImpl ?
直接通过设置 SSL“客户端证书”是不够的HTTPSURLConnectionImpl的请求属性,因为还需要数字签名来证明您拥有该证书。 SSL 已经自动完成所有这些工作,因此使用该层是有意义的。
您有两种方法可以解决未来的问题。
通过配置
您可以将客户端密钥和证书添加到 JVM KeyStore,当服务器要求您进行客户端 SSL 身份验证时,应该在运行时获取它。 (SSL/TLS 的设计目的是:服务器将要求提供由其可信机构签名的客户端证书,这允许 SSL 引擎选择正确的证书,即使您的 KeyStore 拥有许多证书)。
通过代码
你可以自己滚动SSLContext使用定制的KeyStore/TrustStores。
这有点复杂(我不会详细说明如何构建KeystoreJava 中的实例),但要点如下:
public static void main(String[] args) throws Exception {
KeyStore clientKeyStore = ... // Whatever
KeyStore clientTrustStore = ... // Whatever you need to load
// We build the KeyManager (SSL client credentials we can send)
KeyManagerFactory keyFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
keyFactory.init(clientKeyStore, "password".toCharArray());
KeyManager[] km = keyFactory.getKeyManagers();
// We build the TrustManager (Server certificates we trust)
TrustManagerFactory trustFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustFactory.init(clientTrustStore);
TrustManager[] tm = trustFactory.getTrustManagers();
// We build a SSLContext with both our trust/key managers
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(km, tm, null);
SSLSocketFactory sslSf = sslContext.getSocketFactory();
// We prepare a URLConnection
URL url = new URL("https://www.google.com");
URLConnection urlConnection = url.openConnection();
// Before actually opening the sockets, we affect the SSLSocketFactory
HttpsURLConnection httpsUrlConnection = (HttpsURLConnection) urlConnection;
httpsUrlConnection.setSSLSocketFactory(sslSf);
// Ready to go !
}
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
