Hex*_*lic 9 java ssl https root-certificate
tl; dr:使用自定义 CA 而不将其添加到持久密钥库。
我正在编写一个应该使用 HTTPS 连接到远程服务器的 Java 应用程序。连接代码已准备就绪,但是服务器的 SSL 证书是由StartSSL签名的,它不在 Java 的 CA 根证书存储中。
使用此代码,我可以从以下网站获得有效的证书信息https://www.google.com/:
Response Code : 200
Cipher Suite : TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Cert Type : X.509
Cert Hash Code : -1643391404
Cert Public Key Algorithm : RSA
Cert Public Key Format : X.509
Cert Type : X.509
Cert Hash Code : 771393018
Cert Public Key Algorithm : RSA
Cert Public Key Format : X.509
Cert Type : X.509
Cert Hash Code : 349192256
Cert Public Key Algorithm : RSA
Cert Public Key Format : X.509
相同的代码SSLHandshakeException为我的域抛出一个(我们称之为https://www.example.com/)。
当然,我可以使用keytool(甚至可以使用Runtime.exec("keytool ..."))手动将证书添加到密钥库,但这是一种肮脏的方式。我现在计划的是将 StartSSL 根证书添加到我的应用程序文件中以进行分发,然后在运行时将其加载到某个临时密钥库中。这样“真正的”密钥库保持不变。
根据我在这里和这里阅读的内容,我将不得不弄乱一些类,例如TrustManager. 我什至找到了一种完全关闭验证的方法,但这不是我想要的,因为它似乎消除了加密通信的全部目的。
我什至发现一些代码行似乎完全符合我的要求,但我不知道如何调用这个方法,即哪些值作为参数传递:
public class SSLClasspathTrustStoreLoader {
public static void setTrustStore(String trustStore, String password) throws Exception {
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("X509");
KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
InputStream keystoreStream = SSLClasspathTrustStoreLoader.class.getResourceAsStream(trustStore);
keystore.load(keystoreStream, password.toCharArray());
trustManagerFactory.init(keystore);
TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
SSLContext sc = SSLContext.getInstance("SSL");
sc.init(null, trustManagers, null);
SSLContext.setDefault(sc);
}
}
有没有人遇到过类似的情况?我将不胜感激有关如何处理此问题的任何建议。如果你能帮我运行上面的代码,我会很高兴的!
小智 5
您将需要创建一个您已经找到的自定义信任库。除此之外,您还需要创建一个使用您提到的自定义信任管理器的自定义 SSL 套接字工厂,并将其注册到您正在使用的 HTTP 框架。细节实际上取决于您选择的框架。
使用keytool实用程序将证书添加到默认密钥存储没有任何问题。您可能会发现需要多个证书。如果是这种情况,您必须确保整个 Java 应用程序使用相同的密钥存储作为单一事实来源。如果您在同一应用程序中使用多个密钥存储,可能会变得非常棘手。
希望这可以帮助。
| 归档时间: |
|
| 查看次数: |
9325 次 |
| 最近记录: |