我有这个代码使用SSL连接服务器和客户端,现在我想添加客户端身份验证:
(我有一个服务器密钥库(JCEKS类型)和一个客户端密钥库(JKS类型),服务器使用信任库(cacerts),我导入了两个证书,因为我也想使用这个信任库进行客户端身份验证)
客户代码:
System.setProperty("javax.net.ssl.trustStore", cerServer);
System.setProperty("javax.net.ssl.trustStoreType","JCEKS");
System.setProperty("javax.net.ssl.trustStorePassword", pwdCacerts);
SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
SSLSocket sslsocket = (SSLSocket) sslsocketfactory.createSocket("localhost", port);
服务器代码:
KeyStore ks = LoadKeyStore(new File(serverKeyStore), pwdKeyStore, "JCEKS");
KeyManagerFactory kmf;
kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(ks, pwdKeyStore.toCharArray());
SSLContext sc = SSLContext.getInstance("SSL");
sc.init(kmf.getKeyManagers(),null, null);
SSLServerSocketFactory ssf = sc.getServerSocketFactory();
sslserversocket = (SSLServerSocket) ssf.createServerSocket(port);
提前感谢您的帮助。
编辑: 我在服务器端添加了这段代码:
System.setProperty("javax.net.ssl.trustStore", cacerts);
System.setProperty("javax.net.ssl.trustStoreType","JKS");
System.setProperty("javax.net.ssl.trustStorePassword", pwdCacerts);
但是如果我在cacerts中删除了客户端证书,那么连接并没有给我错误,因此我认为这样做是错误的
答案 0 :(得分:18)
如果您希望系统使用客户端证书身份验证,则需要
服务器请求(或要求)客户端证书。这可以通过在服务器套接字(或setWantClientAuth(true)
上)分别设置setNeedClientAuth
来完成。您还需要服务器通告它接受的CA,这通常是通过在服务器上使用信任库来完成的,该信任库包含颁发客户端证书链的CA(这似乎是您通过设置完成的操作)服务器上的javax.net.ssl.trustStore*
。
要配置包含客户端证书的密钥库的客户端(如果存在中间CA,则可能是链)及其私钥。这可以通过设置javax.net.ssl.keyStore*
(可能影响其他连接)或使用KeyManagerFactory
来完成,方法与在服务器端完成相同。
如果使用setWantClientAuth(true)
,您可能仍然没有收到错误,因为服务器将接受没有客户端证书的连接(服务器会检查SSLSession
的对等端证书是否有证书)。当客户端没有出示证书时,setNeedClientAuth(true)
会中断连接。