Sav*_*ior 3 java ssl mutual-authentication java-http-client
我有一个程序,java.net.http.HttpClient它利用 Java 11 中引入的 来连接内部服务并向内部服务发送请求。这些服务相互验证,均提供内部 CA 颁发的证书。
例如,
SSLContext sslContext = SSLContext.getInstance("TLSv1.3");
KeyManager keys = /* load our cert and key */;
TrustManager trust = /* load our trusted CA */;
sslContext.init(keys, trust, secureRandom);
HttpClient.Builder builder = HttpClient.newBuilder().sslContext(sslContext);
HttpClient client = builder.build();
在我们的主机上,客户端的证书和私钥会定期轮换,比主机或应用程序有机会重新启动的频率更高。我希望能够在新的证书/密钥对仍在运行时重新加载它,但看不到任何方法可以做到这一点HttpClient。SSLContext
构建完成后HttpClient,它仅提供一个sslContext()getter 来检索SSLContext. 似乎没有 API 来设置新的。
还有其他机制可以实现这一目标吗?
(我正在考虑类似于 Jetty 的SslContextFactory#reload(SSLContext)方法。)
我认为这个问题类似于How to renew keystore (SSLContext) in Spring Data Geodeconnections without restarting? 我在那里提供的答案与此类似。
遗憾的是,此选项默认情况下不可用。将 SSLContext 提供给 HttpClient 并构建客户端后,您无法更改 SSLContext。您将需要创建一个新的 SSLContext 和一个新的 HttpClient,但有一个解决方法可以应用重新加载/更新。
我的一个项目遇到了同样的挑战,我通过使用自定义信任管理器和密钥管理器解决了这个问题,该自定义信任管理器和密钥管理器包围了实际的信任管理器和密钥管理器,同时具有交换实际信任管理器和密钥管理器的能力。因此,如果您仍然想完成它而不需要重新创建 HttpClient 和 SSLContext,则可以使用以下设置:
SSLFactory baseSslFactory = SSLFactory.builder()
.withDummyIdentityMaterial()
.withDummyTrustMaterial()
.withSwappableIdentityMaterial()
.withSwappableTrustMaterial()
.build();
HttpClient httpClient = HttpClient.newBuilder()
.sslParameters(sslFactory.getSslParameters())
.sslContext(sslFactory.getSslContext())
.build()
Runnable sslUpdater = () -> {
SSLFactory updatedSslFactory = SSLFactory.builder()
.withIdentityMaterial(Paths.get("/path/to/your/identity.jks"), "password".toCharArray())
.withTrustMaterial(Paths.get("/path/to/your/truststore.jks"), "password".toCharArray())
.build();
SSLFactoryUtils.reload(baseSslFactory, updatedSslFactory)
};
// initial update of ssl material to replace the dummies
sslUpdater.run();
// update ssl material every hour
Executors.newSingleThreadScheduledExecutor().scheduleAtFixedRate(sslUpdater, 1, 1, TimeUnit.HOURS);
// execute https request
HttpResponse<String> response = httpClient.send(aRequest, HttpResponse.BodyHandlers.ofString());
有关此选项的文档,请参阅此处:运行时交换 KeyManager 和 TrustManager
这里有一个实际的工作示例:Example swappingcertificates at running with HttpUrlConnection
这里有一个服务器端示例:使用 Spring Boot 和 Jetty 在运行时交换证书的示例另外其他服务器也是可能的,例如Netty或Vert.x,只要它们可以使用 SSLContext、SSLServerSocketFactory、TrustManager 或 KeyManager
您可以使用以下方法将库添加到您的项目中:
<dependency>
<groupId>io.github.hakky54</groupId>
<artifactId>sslcontext-kickstart</artifactId>
<version>7.4.8</version>
</dependency>
您可以在此处查看完整的文档和其他示例:GitHub - SSLContext Kickstart
顺便说一句,我需要添加一个小的免责声明,我是该库的维护者。