我已经阅读了很多东西来设置我的SSL客户端/服务器系统(没有HTTP)。
我从the secure chat example和the websocket ssl server example启发了自己。 已经使用命令
创建了我的cert.jks文件keytool -genkey -alias app-keysize 2048 -validity 36500
-keyalg RSA -dname "CN=app"
-keypass mysecret-storepass mysecret
-keystore cert.jks
在安全聊天示例中,有这个类:
public class SecureChatTrustManagerFactory extends TrustManagerFactorySpi {
private static final TrustManager DUMMY_TRUST_MANAGER = new X509TrustManager() {
@Override
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[0];
}
@Override
public void checkClientTrusted(
X509Certificate[] chain, String authType) throws CertificateException {
// Always trust - it is an example.
// You should do something in the real world.
// You will reach here only if you enabled client certificate auth,
// as described in SecureChatSslContextFactory.
System.err.println(
"UNKNOWN CLIENT CERTIFICATE: " + chain[0].getSubjectDN());
}
@Override
public void checkServerTrusted(
X509Certificate[] chain, String authType) throws CertificateException {
// Always trust - it is an example.
// You should do something in the real world.
System.err.println(
"UNKNOWN SERVER CERTIFICATE: " + chain[0].getSubjectDN());
}
};
public static TrustManager[] getTrustManagers() {
return new TrustManager[] { DUMMY_TRUST_MANAGER };
}
@Override
protected TrustManager[] engineGetTrustManagers() {
return getTrustManagers();
}
@Override
protected void engineInit(KeyStore keystore) throws KeyStoreException {
// Unused
}
@Override
protected void engineInit(ManagerFactoryParameters managerFactoryParameters)
throws InvalidAlgorithmParameterException {
// Unused
}
}
如何正确实现此课程?
在此代码中(在SecureChatSslContextFactory类中):
SSLContext serverContext = null;
SSLContext clientContext = null;
try {
KeyStore ks = KeyStore.getInstance("JKS");
ks.load(SecureChatKeyStore.asInputStream(),
SecureChatKeyStore.getKeyStorePassword());
// Set up key manager factory to use our key store
KeyManagerFactory kmf = KeyManagerFactory.getInstance(algorithm);
kmf.init(ks, SecureChatKeyStore.getCertificatePassword());
// Initialize the SSLContext to work with our key managers.
serverContext = SSLContext.getInstance(PROTOCOL);
serverContext.init(kmf.getKeyManagers(), null, null);
} catch (Exception e) {
throw new Error(
"Failed to initialize the server-side SSLContext", e);
}
try {
clientContext = SSLContext.getInstance(PROTOCOL);
clientContext.init(null, SecureChatTrustManagerFactory.getTrustManagers(), null);
} catch (Exception e) {
throw new Error(
"Failed to initialize the client-side SSLContext", e);
}
为什么他们在null行中放置tmf.getTrustManagers()而不是serverContext.init(kmf.getKeyManagers(), null, null);?
答案 0 :(得分:9)
如何正确实现此课程?
您需要定义一种方法来检查您是否以chain[0]方式信任证书。如果不这样做,请抛出CertificateException。 (这里SecureChatTrustManagerFactory从不抛出任何东西,因此绕过验证,这可以使连接对MITM攻击开放。)
如果您想半手动执行此验证,即使是相对简单的用例,也可以使用Java PKI API,it can be a bit tedious。
一般来说,正确的做法是不来实现自己的。将其留给TrustManagerFactory(或多或少与KeyManagerFactory完成相同)。顺便说一句,在这两种情况下,我建议使用Key/TrustManagerFactory.getDefaultAlgorithm()作为algorithm的值,除非你有充分的理由不这样做。它至少是一个比SunX509更好的默认值,我在很多情况下看到了硬编码(实际上它不是默认的TMF算法值)。
您可以从您自己的信任库(例如KeyStore的实例中初始化TMF,您可以专门为此连接加载)。
信任管理员的{p>为什么他们在行中放置null而不是tmf.getTrustManagers() serverContext.init(kmf.getKeyManagers(),null,null); ?
null和null的{{1}}会回归到默认值。这将是使用默认TMF算法(通常为SecureRandom)初始化的默认信任管理器,使用默认信任库(使用PKIX中的位置,或者回退到javax.net.ssl.trustStore文件或jssecacerts)。 JSSE reference guide。中的更多详细信息