我有一个Java密钥库,我为每个客户的子域存储证书。我打算使用服务器别名来区分密钥库中的多个客户,如建议here。 Play框架1.2.7使用Netty的SslHandler来支持服务器端的SSL。我尝试实现使用此solution的自定义SslHttpServerContextFactory。
import play.Play;
import javax.net.ssl.*;
import java.io.FileInputStream;
import java.net.InetAddress;
import java.net.Socket;
import java.security.KeyStore;
import java.security.Principal;
import java.security.PrivateKey;
import java.security.Security;
import java.security.cert.X509Certificate;
import java.util.Properties;
public class CustomSslHttpServerContextFactory {
private static final String PROTOCOL = "SSL";
private static final SSLContext SERVER_CONTEXT;
static {
String algorithm = Security.getProperty("ssl.KeyManagerFactory.algorithm");
if (algorithm == null) {
algorithm = "SunX509";
}
SSLContext serverContext = null;
KeyStore ks = null;
try {
final Properties p = Play.configuration;
// Try to load it from the keystore
ks = KeyStore.getInstance(p.getProperty("keystore.algorithm", "JKS"));
// Load the file from the conf
char[] certificatePassword = p.getProperty("keystore.password", "secret").toCharArray();
ks.load(new FileInputStream(Play.getFile(p.getProperty("keystore.file", "conf/certificate.jks"))),
certificatePassword);
// Set up key manager factory to use our key store
KeyManagerFactory kmf = KeyManagerFactory.getInstance(algorithm);
kmf.init(ks, certificatePassword);
TrustManagerFactory tmf = TrustManagerFactory.getInstance(algorithm);
tmf.init(ks);
final X509KeyManager origKm = (X509KeyManager) kmf.getKeyManagers()[0];
X509KeyManager km = new X509KeyManagerWrapper(origKm);
// Initialize the SSLContext to work with our key managers.
serverContext = SSLContext.getInstance(PROTOCOL);
serverContext.init(new KeyManager[]{km}, tmf.getTrustManagers(), null);
} catch (Exception e) {
throw new Error("Failed to initialize the server-side SSLContext", e);
}
SERVER_CONTEXT = serverContext;
}
public static SSLContext getServerContext() {
return SERVER_CONTEXT;
}
public static class X509KeyManagerWrapper implements X509KeyManager {
final X509KeyManager origKm;
public X509KeyManagerWrapper(X509KeyManager origKm) {
this.origKm = origKm;
}
public String chooseServerAlias(String keyType,
Principal[] issuers, Socket socket) {
InetAddress remoteAddress = socket.getInetAddress();
//TODO: Implement alias selection based on remoteAddress
return origKm.chooseServerAlias(keyType, issuers, socket);
}
@Override
public String chooseClientAlias(String[] keyType,
Principal[] issuers, Socket socket) {
return origKm.chooseClientAlias(keyType, issuers, socket);
}
@Override
public String[] getClientAliases(String s, Principal[] principals) {
return origKm.getClientAliases(s, principals);
}
@Override
public String[] getServerAliases(String s, Principal[] principals) {
return origKm.getServerAliases(s, principals);
}
@Override
public X509Certificate[] getCertificateChain(String s) {
return origKm.getCertificateChain(s);
}
@Override
public PrivateKey getPrivateKey(String s) {
return origKm.getPrivateKey(s);
}
}
}
但是,这种方法由于某种原因不起作用。我在SSL调试日志中收到此消息。
X509KeyManager passed to SSLContext.init(): need an X509ExtendedKeyManager for SSLEngine use
这是SSL trace,它失败并且“没有共同的密码套件”。现在,我将包装器切换到:
public static class X509KeyManagerWrapper extends X509ExtendedKeyManager
通过这个更改,我摆脱了警告,但我仍然看到与“没有共同的密码套件”之前相同的错误,这里是SSL trace。我不确定为什么关键经理的代表团不会工作。
在此上下文中可能有用的更多信息。
这阻碍了我在X509KeyManagerWrapper中进一步使用自定义别名选择逻辑。关于这里可能发生的事情的任何线索?在Netty / Play中还有其他方法可以实现吗?感谢任何建议。
答案 0 :(得分:8)
SSLEngine使用chooseEngineServerAlias方法选择要使用的证书(在服务器模式下) - 而不是chooseServerAlias方法。
默认chooseEngineServerAlias implementation实际上返回null,这是导致“无密码套件共同”消息的原因 - 您需要证书才能知道可以使用哪些密码套件(例如,如果证书具有ECC公钥等,则ECDSA只能用于身份验证。)实际上有一些密码套件可以在没有证书的情况下使用,但是,这些密码套件通常被禁用,因为它们容易受到MITM攻击。
因此,您还应该覆盖chooseEngineServerAlias,并根据其中的IP地址实施逻辑以选择证书。由于Netty仅使用SSLEngine,chooseServerAlias所做的并不重要 - 它永远不会被调用。
Java 8还支持服务器端SNI,它允许您在具有单个IP地址的多个主机名中使用多个证书。大多数Web浏览器都支持SNI - 值得注意的例外是在Windows XP上运行的IE和一些旧版本的Android,但是这些使用率正在下降。我创建了一个小示例应用程序,演示如何在GitHub上使用Netty中的SNI。它的工作原理的核心部分是覆盖chooseEngineServerAlias - 这应该给你足够的提示,即使你想使用每个IP地址技术的一个证书而不是SNI。
(我在Netty邮件列表上发布了类似的答案,你也问了这个问题 - 但是,我的帖子似乎还没有被批准,所以我想我也会在这里回答所以你可以得到一个快点回答。)