Ste*_*eal 15 java security url network-programming
我需要从使用客户端证书进行身份验证的服务器请求URL,但无法找到为我的应用程序执行此操作的方法.
我的问题是我正在处理的Java客户端有本地可用的证书文件,但是由于它将在其上运行的PC的限制,它无法在密钥库中安装证书.
简而言之,我只是希望能够明确指定用于我需要检索的URL的证书.
有什么建议?
Bru*_*uno 24
目前尚不清楚你所谈论的限制是什么.更具体地说,我不确定您认为本地证书文件和密钥库之间的区别.大多数密钥库都是基于文件的,因此您可以直接以这种方式加载文件,而无需安装过程.这些限制是否与JVM本身使用的安全策略相关(这可能会阻止您实例化KeyStores)?
首先,它不仅仅是客户端所需的证书,而是其私钥.通常,人们在此上下文中使用"证书"一词来表示两者,但您确实需要确保您的文件不包含没有私钥的证书.通常,您会在PKCS#12文件(.p12/.pfx)中找到私钥+证书的组合,许多工具以此格式导入/导出; 它也是Sun JVM(类型PKCS12)本机支持的密钥库格式.
要使其工作,您需要配置与适当的密钥库建立连接的内容.SSL/TLS客户端证书身份验证始终由服务器启动:如果证书有证书(并且想要使用证书),则客户端会响应证书.要为特定URL配置它,您需要找出连接的原因(可能HttpsURLConnection)并将其设置在那里(除非它在默认上下文中设置 - 即使它是在默认上下文中设置的,它也只会被使用)对于请求它的服务器).
要在JVM上全局设置密钥库(这可能是您的限制阻止您执行的操作),您可以设置javax.net.ssl.keyStore javax.net.ssl.keyStorePassword(和相关的)系统属性.(因为密码可见,最好不要在命令行上执行).
这些系统属性用于配置默认值SSLContext(通常由库或类透明地使用,例如HttpsURLConnection构建SSLSocketFactory然后SSLSocket,使用这些属性进行初始化).
您可以SSLContext从您的文件构建专门用于该连接.该SSLContext实际上是对一个工厂SSLSocketFactory或者SSLEngine,你可以设置SSLSocketFactory在给定的HttpsURLConnection.
以下将构建一个SSLContext使用"/path/to/file.p12"作为您的密钥库(即具有您的私钥和您要发送的证书的密钥库)并保留信任库的默认设置(您将需要捕获输入流的异常).
KeyStore ks = KeyStore.getInstance("PKCS12");
FileInputStream fis = new FileInputStream("/path/to/file.p12");
ks.load(fis, "password".toCharArray());
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
kmf.init(ks, "password".toCharArray());
SSLContext sc = SSLContext.getInstance("TLS");
sc.init(kmf.getKeyManagers(), null, null);
从那里你可以像这样配置连接(如果这是你正在使用的):
HttpURLConnection connection = (HttpURLConnection) url.openConnection();
if (connection instanceof HttpsURLConnection) {
((HttpsURLConnection)connection)
.setSSLSocketFactory(sc.getSocketFactory());
}
一些库将允许您SSLContext直接传递(Apache HTTP Client 4支持它,这可以使用Apache HTTP Client 3 来完成.)
请注意,在加载密钥库时,您不需要提供密码作为直接参数,您也可以使用回调(从GUI的角度来看可能更好).
也许这个库可以帮助(但没有必要):你可以使用KeystoreLoader它的助手来做到这一点.此库中还有SSLContextFactories(但您可能不需要任何包装器,因为它们往往用于自定义信任管理或密钥选择).
这通常是如何配置客户端证书的,但是如果没有明确说明您的限制是什么(以及您正在使用哪些库),则很难提供更多详细信息.