Chứng chỉ ứng dụng khách Java qua HTTPS / SSL

Tôi đang sử dụng Java 6 và đang cố gắng tạo một HttpsURLConnectionmáy chủ từ xa chống lại máy chủ từ xa, sử dụng chứng chỉ máy khách.
Máy chủ đang sử dụng chứng chỉ gốc tự ký và yêu cầu xuất trình chứng chỉ máy khách được bảo vệ bằng mật khẩu. Tôi đã thêm chứng chỉ gốc máy chủ và chứng chỉ máy khách vào kho khóa java mặc định mà tôi tìm thấy trong /System/Library/Frameworks/JavaVM.framework/Versions/1.6.0/Home/lib/security/cacerts(OSX 10.5). Tên của tệp kho khóa dường như gợi ý rằng chứng chỉ ứng dụng khách không được phép đi vào đó?

Dù sao, việc thêm chứng chỉ gốc vào cửa hàng này đã giải quyết được vấn đề khét tiếng javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed' problem.

Tuy nhiên, bây giờ tôi đang gặp khó khăn về cách sử dụng chứng chỉ ứng dụng khách. Tôi đã thử hai cách tiếp cận và không đưa tôi đến đâu.
Đầu tiên và ưu tiên, hãy thử:

SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
URL url = new URL("https://somehost.dk:3049");
HttpsURLConnection conn = (HttpsURLConnection)url.openConnection();
conn.setSSLSocketFactory(sslsocketfactory);
InputStream inputstream = conn.getInputStream();
// The last line fails, and gives:
// javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

Tôi đã thử bỏ qua lớp HttpsURLConnection (không lý tưởng vì tôi muốn nói chuyện HTTP với máy chủ) và thực hiện việc này thay thế:

SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
SSLSocket sslsocket = (SSLSocket) sslsocketfactory.createSocket("somehost.dk", 3049);
InputStream inputstream = sslsocket.getInputStream();
// do anything with the inputstream results in:
// java.net.SocketTimeoutException: Read timed out

Tôi thậm chí không chắc rằng chứng chỉ khách hàng là vấn đề ở đây.

Cuối cùng cũng giải quyết được rồi;). Có một gợi ý mạnh mẽ ở đây (Câu trả lời của Gandalfs cũng chạm vào nó một chút). Các liên kết bị thiếu (chủ yếu) là tham số đầu tiên trong số các tham số dưới đây và ở một mức độ nào đó tôi đã bỏ qua sự khác biệt giữa kho khóa và cửa hàng tin cậy.

Chứng chỉ máy chủ tự ký phải được nhập vào kho tin cậy:

keytool -import -alias gridserver -file Gridserver.crt -storepass $ PASS -keystore gridserver.keystore

Các thuộc tính này cần được đặt (trên dòng lệnh hoặc trong mã):

-Djavax.net.ssl.keyStoreType=pkcs12
-Djavax.net.ssl.trustStoreType=jks
-Djavax.net.ssl.keyStore=clientcertificate.p12
-Djavax.net.ssl.trustStore=gridserver.keystore
-Djavax.net.debug=ssl # very verbose debug
-Djavax.net.ssl.keyStorePassword=$PASS
-Djavax.net.ssl.trustStorePassword=$PASS

Mã ví dụ làm việc:

SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
URL url = new URL("https://gridserver:3049/cgi-bin/ls.py");
HttpsURLConnection conn = (HttpsURLConnection)url.openConnection();
conn.setSSLSocketFactory(sslsocketfactory);
InputStream inputstream = conn.getInputStream();
InputStreamReader inputstreamreader = new InputStreamReader(inputstream);
BufferedReader bufferedreader = new BufferedReader(inputstreamreader);

String string = null;
while ((string = bufferedreader.readLine()) != null) {
    System.out.println("Received " + string);
}

Mặc dù không được khuyến nghị nhưng bạn cũng có thể tắt hoàn toàn xác thực chứng chỉ SSL:

import javax.net.ssl.*;
import java.security.SecureRandom;
import java.security.cert.X509Certificate;

public class SSLTool {

  public static void disableCertificateValidation() {
    // Create a trust manager that does not validate certificate chains
    TrustManager[] trustAllCerts = new TrustManager[] { 
      new X509TrustManager() {
        public X509Certificate[] getAcceptedIssuers() { 
          return new X509Certificate[0]; 
        }
        public void checkClientTrusted(X509Certificate[] certs, String authType) {}
        public void checkServerTrusted(X509Certificate[] certs, String authType) {}
    }};

    // Ignore differences between given hostname and certificate hostname
    HostnameVerifier hv = new HostnameVerifier() {
      public boolean verify(String hostname, SSLSession session) { return true; }
    };

    // Install the all-trusting trust manager
    try {
      SSLContext sc = SSLContext.getInstance("SSL");
      sc.init(null, trustAllCerts, new SecureRandom());
      HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
      HttpsURLConnection.setDefaultHostnameVerifier(hv);
    } catch (Exception e) {}
  }
}

Bạn đã đặt thuộc tính KeyStore và / hoặc Hệ thống TrustStore chưa?

java -Djavax.net.ssl.keyStore=pathToKeystore -Djavax.net.ssl.keyStorePassword=123456

hoặc từ với mã

System.setProperty("javax.net.ssl.keyStore", pathToKeyStore);

Tương tự với javax.net.ssl.trustStore

Nếu bạn đang xử lý một cuộc gọi dịch vụ web bằng khung Axis, có một câu trả lời đơn giản hơn nhiều. Nếu tất cả mong muốn là khách hàng của bạn có thể gọi dịch vụ web SSL và bỏ qua lỗi chứng chỉ SSL, chỉ cần đặt câu lệnh này trước khi bạn gọi bất kỳ dịch vụ web nào:

System.setProperty("axis.socketSecureFactory", "org.apache.axis.components.net.SunFakeTrustSocketFactory");

Áp dụng các tuyên bố từ chối trách nhiệm thông thường về điều này là Điều Rất Xấu trong môi trường sản xuất.

Tôi tìm thấy điều này tại Axis wiki .

Đối với tôi, đây là những gì hoạt động khi sử dụng Apache HttpComponents ~ HttpClient 4.x:

    KeyStore keyStore  = KeyStore.getInstance("PKCS12");
    FileInputStream instream = new FileInputStream(new File("client-p12-keystore.p12"));
    try {
        keyStore.load(instream, "helloworld".toCharArray());
    } finally {
        instream.close();
    }

    // Trust own CA and all self-signed certs
    SSLContext sslcontext = SSLContexts.custom()
        .loadKeyMaterial(keyStore, "helloworld".toCharArray())
        //.loadTrustMaterial(trustStore, new TrustSelfSignedStrategy()) //custom trust store
        .build();
    // Allow TLSv1 protocol only
    SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
        sslcontext,
        new String[] { "TLSv1" },
        null,
        SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER); //TODO
    CloseableHttpClient httpclient = HttpClients.custom()
        .setHostnameVerifier(SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER) //TODO
        .setSSLSocketFactory(sslsf)
        .build();
    try {

        HttpGet httpget = new HttpGet("https://localhost:8443/secure/index");

        System.out.println("executing request" + httpget.getRequestLine());

        CloseableHttpResponse response = httpclient.execute(httpget);
        try {
            HttpEntity entity = response.getEntity();

            System.out.println("----------------------------------------");
            System.out.println(response.getStatusLine());
            if (entity != null) {
                System.out.println("Response content length: " + entity.getContentLength());
            }
            EntityUtils.consume(entity);
        } finally {
            response.close();
        }
    } finally {
        httpclient.close();
    }

Tệp P12 chứa chứng chỉ ứng dụng khách và khóa riêng tư ứng dụng khách, được tạo bằng BouncyCastle:

public static byte[] convertPEMToPKCS12(final String keyFile, final String cerFile,
    final String password)
    throws IOException, CertificateException, KeyStoreException, NoSuchAlgorithmException,
    NoSuchProviderException
{
    // Get the private key
    FileReader reader = new FileReader(keyFile);

    PEMParser pem = new PEMParser(reader);
    PEMKeyPair pemKeyPair = ((PEMKeyPair)pem.readObject());
    JcaPEMKeyConverter jcaPEMKeyConverter = new JcaPEMKeyConverter().setProvider("BC");
    KeyPair keyPair = jcaPEMKeyConverter.getKeyPair(pemKeyPair);

    PrivateKey key = keyPair.getPrivate();

    pem.close();
    reader.close();

    // Get the certificate
    reader = new FileReader(cerFile);
    pem = new PEMParser(reader);

    X509CertificateHolder certHolder = (X509CertificateHolder) pem.readObject();
    java.security.cert.Certificate x509Certificate =
        new JcaX509CertificateConverter().setProvider("BC")
            .getCertificate(certHolder);

    pem.close();
    reader.close();

    // Put them into a PKCS12 keystore and write it to a byte[]
    ByteArrayOutputStream bos = new ByteArrayOutputStream();
    KeyStore ks = KeyStore.getInstance("PKCS12", "BC");
    ks.load(null);
    ks.setKeyEntry("key-alias", (Key) key, password.toCharArray(),
        new java.security.cert.Certificate[]{x509Certificate});
    ks.store(bos, password.toCharArray());
    bos.close();
    return bos.toByteArray();
}

Tôi sử dụng gói Apache commons HTTP Client để thực hiện việc này trong dự án hiện tại của tôi và nó hoạt động tốt với SSL và chứng chỉ tự ký (sau khi cài đặt nó vào cacerts như bạn đã đề cập). Hãy xem nó ở đây:

http://hc.apache.org/httpclient-3.x/tutorial.html

http://hc.apache.org/httpclient-3.x/sslguide.html

Tôi nghĩ rằng bạn gặp sự cố với chứng chỉ máy chủ của mình, không phải là chứng chỉ hợp lệ (tôi nghĩ đây là ý nghĩa của "handshake_failure" trong trường hợp này):

Nhập chứng chỉ máy chủ của bạn vào kho khóa trustcacerts của bạn trên JRE của ứng dụng khách. Điều này có thể dễ dàng thực hiện với keytool :

keytool
    -import
    -alias <provide_an_alias>
    -file <certificate_file>
    -keystore <your_path_to_jre>/lib/security/cacerts

Sử dụng mã bên dưới

-Djavax.net.ssl.keyStoreType=pkcs12

hoặc là

System.setProperty("javax.net.ssl.keyStore", pathToKeyStore);

không bắt buộc. Ngoài ra, không cần tạo nhà máy SSL tùy chỉnh của riêng bạn.

Tôi cũng gặp phải vấn đề tương tự, trong trường hợp của tôi, đã xảy ra sự cố khiến chuỗi chứng chỉ hoàn chỉnh không được nhập vào cửa hàng tin cậy. Nhập chứng chỉ bằng tiện ích keytool ngay chứng chỉ gốc fom, bạn cũng có thể mở tệp cacerts trong notepad và xem chuỗi chứng chỉ hoàn chỉnh có được nhập hay không. Kiểm tra tên bí danh bạn đã cung cấp trong khi nhập chứng chỉ, mở chứng chỉ và xem nó chứa bao nhiêu chứng chỉ, cùng một số chứng chỉ nên có trong tệp cacerts.

Ngoài ra, tệp cacerts nên được cấu hình trong máy chủ mà bạn đang chạy ứng dụng của mình, hai máy chủ sẽ xác thực lẫn nhau bằng khóa công khai / riêng tư.