我正在调用需要客户端证书身份验证的Web服务。
如果我指定一个包含单个证书的Java密钥库(服务所需的客户端证书),那么一切正常。但是,如果我使用包含多个证书的密钥库,那么我似乎无法指定客户端应该选择哪个证书,客户端似乎会获取第一个可用证书(按字母顺序)。
我尝试了以下属性但没有预期的结果:
System.setProperty("com.sun.enterprise.security.httpsOutboundKeyAlias", "my-client-certificate alias");
如何指定应使用哪个客户端证书别名?
答案 0 :(得分:14)
Jakub提供的链接in his response引导您找到答案,但我想在这里发布一个更简单的回复,因为我们在这个问题上挣扎了很长一段时间才终于得到了有用的东西。
我们的情况是有几个证书可供使用,我们需要使用具有特定别名的证书来执行我们的连接。我们通过创建我们自己的KeyManager实现来实现这一点,该实现将其大部分功能传递给默认的X509KeyManager,但是具有在执行连接时准确选择要使用的正确别名的功能。
首先是我们创建的密钥管理器:
public class FilteredKeyManager implements X509KeyManager {
private final X509KeyManager originatingKeyManager;
private final X509Certificate[] x509Certificates;
public FilteredKeyManager(X509KeyManager originatingKeyManager, X509Certificate[] x509Certificates) {
this.originatingKeyManager = originatingKeyManager;
this.x509Certificates = x509Certificates;
}
public X509Certificate[] getCertificateChain(String alias) {
return x509Certificates;
}
public String[] getClientAliases(String keyType, Principal[] issuers) {
return new String[] {"DesiredClientCertAlias"};
}
实施所需的所有其他方法都是originatingKeyManager的直通。
然后,当我们实际设置上下文时:
SSLContext context = SSLContext.getInstance("TLSv1");
context.init(new KeyManager[] { new FilteredKeyManager((X509KeyManager)originalKeyManagers[0], desiredCertsForConnection) },
trustManagerFactory.getTrustManagers(), new SecureRandom());
希望明确表达,并为其他任何试图解决此问题的人提供帮助。
答案 1 :(得分:10)
简短回答:使用默认的Java ssl实现无法完成。
答案很长:我查看了如何在sun.security.ssl.ClientHandshaker中实施SSL握手。在其方法serverHelloDone中称为X509ExtendedKeyManager.chooseClientAlias。它的实现实际上是以这样的方式完成的,即它们返回第一个别名,其条目与给定的密钥算法匹配,而其他一些东西也很少。无法如何调整别名选择。
对于那些可以更改代码的人来说,这看起来像是一个很有前途的解决方法:http://www.44342.com/java-f392-t785-p1.htm
答案 2 :(得分:5)
这是一个有效的完整代码剪辑。
我用它在Android上创建一个SSL连接,其中一个智能卡的密钥库包含多个符合标准过滤条件的证书。
积分转到zarniwoop。
/**
* filters the SSLCertificate we want to use for SSL
* <code>
* KeyManagerFactory kmf = KeyManagerFactory.getInstance("X509");
* kmf.init(keyStore, null);
* String SSLCertificateKeyStoreAlias = keyStore.getCertificateAlias(sslCertificate);
* KeyManager[] keyManagers = new KeyManager[] { new FilteredKeyManager((X509KeyManager)kmf.getKeyManagers()[0], sslCertificate, SSLCertificateKeyStoreAlias) };
* </code>
*/
private class FilteredKeyManager implements X509KeyManager {
private final X509KeyManager originatingKeyManager;
private final X509Certificate sslCertificate;
private final String SSLCertificateKeyStoreAlias;
/**
* @param originatingKeyManager, original X509KeyManager
* @param sslCertificate, X509Certificate to use
* @param SSLCertificateKeyStoreAlias, Alias of the certificate in the provided keystore
*/
public FilteredKeyManager(X509KeyManager originatingKeyManager, X509Certificate sslCertificate, String SSLCertificateKeyStoreAlias) {
this.originatingKeyManager = originatingKeyManager;
this.sslCertificate = sslCertificate;
this.SSLCertificateKeyStoreAlias = SSLCertificateKeyStoreAlias;
}
@Override
public String chooseClientAlias(String[] keyType, Principal[] issuers, Socket socket) {
return SSLCertificateKeyStoreAlias;
}
@Override
public String chooseServerAlias(String keyType, Principal[] issuers, Socket socket) {
return originatingKeyManager.chooseServerAlias(keyType, issuers, socket);
}
@Override
public X509Certificate[] getCertificateChain(String alias) {
return new X509Certificate[]{ sslCertificate };
}
@Override
public String[] getClientAliases(String keyType, Principal[] issuers) {
return originatingKeyManager.getClientAliases(keyType, issuers);
}
@Override
public String[] getServerAliases(String keyType, Principal[] issuers) {
return originatingKeyManager.getServerAliases(keyType, issuers);
}
@Override
public PrivateKey getPrivateKey(String alias) {
return originatingKeyManager.getPrivateKey(alias);
}
}
答案 3 :(得分:1)
我对KeyManager的印象是,一旦使用密钥库初始化它,它就会使用私钥条目的别名来查找关联的证书和证书链。
否则,我认为它根据主机识别的密钥类型和证书颁发机构选择一个链
因此,在您的情况下,您的描述没有提到密钥库中的私人条目,因此我猜猜密钥管理员会选择最合适的证书。
我不知道你提到的所有系统属性。
- 尝试将密钥库更改为具有私钥和关联链
- 或者(不确定这是否可行)更改要发送到服务器的证书的别名以匹配证书的主题名称