使用自签名证书和SSLEngine(JSSE)进行SSL握手

时间:2012-03-07 15:43:29

标签: java nio jsse sslengine

我的任务是实现一个可以在同一端口上处理SSL和非SSL消息的自定义/独立Java Web服务器。

我已经实现了一个NIO服务器,它非常适用于非SSL请求。我对SSL片段感到非常兴奋,并且可以使用一些指导。

这是我到目前为止所做的工作。

为了区分SSL和非SSL消息,我检查入站请求的第一个字节以查看它是否是SSL / TLS消息。例如:

   byte a = read(buf);
   if (totalBytesRead==1 && (a>19 && a<25)){
       parseTLS(buf);
   }

在parseTLS()方法中,我实例化一个SSLEngine:

   java.security.KeyStore ks = java.security.KeyStore.getInstance("JKS");
   java.security.KeyStore ts = java.security.KeyStore.getInstance("JKS");

   ks.load(new java.io.FileInputStream(keyStoreFile), passphrase);
   ts.load(new java.io.FileInputStream(trustStoreFile), passphrase);

   KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
   kmf.init(ks, passphrase);

   TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
   tmf.init(ts);

   SSLContext sslc = SSLContext.getInstance("TLS");     
   sslc.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);


   SSLEngine serverEngine = sslc.createSSLEngine();
   serverEngine.setUseClientMode(false);
   serverEngine.setEnableSessionCreation(true);
   serverEngine.setWantClientAuth(true);

一旦SSLEngine被实例化,我使用unwrap / wrap方法使用代码直接从官方JSSE Samples处理入站数据:

   log("----");

   serverResult = serverEngine.unwrap(inNetData, inAppData);
   log("server unwrap: ", serverResult);
   runDelegatedTasks(serverResult, serverEngine);

   log("----");

   serverResult = serverEngine.wrap(outAppData, outNetData);
   log("server wrap: ", serverResult);
   runDelegatedTasks(serverResult, serverEngine);

握手的第一部分似乎工作正常。客户端发送握手消息,服务器响应4条记录的消息:

handshake (22)
- server_hello (2) 
- certificate (11) 
- server_key_exchange (12)
- certificate_request (13) 
- server_hello_done (14)

接下来,客户端发送包含三个部分的消息:

handshake (22)
 - certificate (11)
 - client_key_exchange (16)

change_cipher_spec (20)
 - client_hello (1)

handshake (22)
 *** Encrypted Message ****

SSLEngine解包客户端请求并解析记录,但wrap方法产生0字节,握手状态为OK / NEED_UNWRAP。换句话说,我没有什么可以发回给客户的,握手就是嘎然而止。

这是我被困的地方。

在调试器中,我可以看到SSLEngine,特别是ServerHandshaker,没有找到任何对等证书。当我从客户端查看长度为0字节的证书记录时,这是相当明显的。但为什么呢?

我只能假设HelloServer响应有问题,但我似乎无法指责它。服务器似乎正在发送有效的证书,但客户端不会发回任何内容。我的密钥库有问题吗?还是信托商店?或者它与我实例化SSLEngine的方式有关?我很难过。

结合其他观点:

  • 上面代码snippit中引用的密钥库和信任库是使用以下教程创建的: http://www.techbrainwave.com/?p=953
  • 我使用Firefox 10和IE 9作为客户端来测试服务器。两个Web客户端的结果相同。
  • 我使用捆绑的Sun / Oracle JDK 6和Java安全套接字扩展(JSSE)。

我期待您的任何指导,但请不要告诉我,我要坚持使用Netty或Grizzly或其他现有解决方案。它现在不是一个选项。我只是想了解我做错了什么。

提前致谢!

1 个答案:

答案 0 :(得分:9)

你有NEED_UNWRAP,所以要解开。反过来可能会给你BUFFER_UNDERFLOW,这意味着你必须进行读取并重试解包。

同样当你得到NEED_WRAP时,做一个换行:反过来可能会给你BUFFER_OVERFLOW,这意味着你必须写一个并重试换行。

反过来包裹或解包可能会告诉你做另一个操作:包裹或解包。

按照它告诉你要做的事情。

相关问题
最新问题