如何将证书身份验证与 HttpsURLConnection 结合使用？

好的，所以你的问题的标题是“如何通过HttpsURLConnection使用证书身份验证”？我有一个工作的例子。要使它工作，它有一个先决条件：

1. 您必须有一个包含证书文件的密钥库。（我知道你的场景并不完全允许这样做，但请在这里关注我，以便我们可以缩小你的问题范围，因为它有点太复杂了，无法立即回答。)

因此，首先要了解实际的证书文件。如果您使用的是Windows 7，则可以通过以下步骤完成此操作：

1. 打开 Internet Explorer，
2. 打开工具（在Internet Explorer 9中，它是齿轮图标），
3. 单击互联网选项，
4. 转到内容选项卡，
5. 单击“证书”，
6. 找到手头的证书，
7. 单击它，然后单击“导出”并将其保存到文件（DER编码的二进制X.509）。

_{(导出后，将其从其他证书中删除，确保Java不会以某种方式使用它。我不知道它是否可以使用它，但它不会伤害。)}

现在，您必须创建一个密钥库文件并将导出的证书导入其中，这可以通过以下方式完成。

> keytool -importcert -file <certificate> -keystore <keystore> -alias <alias>

_{(显然，keytool必须在你的工作道路上。它是JDK的一部分。)}

它会提示您输入密码（密钥库的密码;它不必对证书执行任何操作），我不知道现在如何将其设置为密码，因此请将其设置为“让它成为”或其他任何内容。""password

在此之后，通过以下步骤，您可以通过代理与终端节点建立安全连接。

1. 首先，加载密钥库文件。

   InputStream trustStream = new FileInputStream("path/to/<keystore>");
   char[] trustPassword = "<password>".toCharArray();
   

2. 初始化密钥库。

   KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
   trustStore.load(trustStream, trustPassword);
   

3. 初始化 TrustManager 对象。（我认为这些处理证书解析或类似的东西，但是就我而言，这是魔术。)

   TrustManagerFactory trustFactory =
       TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
   trustFactory.init(trustStore);
   TrustManager[] trustManagers = trustFactory.getTrustManagers();
   

4. 创建一个新的 SSLContext，将 TrustManager 对象加载到其中，并将其设置为默认值。请注意，因为SSLContext.getDefault（）返回该类的不可修改实例（或者更像默认的无法重新初始化的实例，但无论如何），这就是为什么我们必须使用SSLContext.getInstance（“SSL”）的原因。另外，不要忘记将此新的SSLContext设置为默认值，因为没有它，代码就会发出麻烦。

   SSLContext sslContext = SSLContext.getInstance("SSL");
   sslContext.init(null, trustManagers, null);
   SSLContext.setDefault(sslContext);
   

5. 创建代理并为其设置身份验证。（不要使用 System.setProperty（...），而是使用 Proxy 类。哦，不要被 Type.HTTP 误导。)

   Proxy proxy = new Proxy(Proxy.Type.HTTP, new InetSocketAddress("<host>", <port>));
   

6. 为代理设置身份验证。（我使用了一个不需要身份验证的免费代理，所以我现在无法测试问题的这一部分。)

   Authenticator.setDefault(new Authenticator() {
   
     @Override
     protected PasswordAuthentication getPasswordAuthentication() {
       return new PasswordAuthentication("<user>", "<password>".toCharArray());
     }
   });
   

7. 通过将以前创建的代理传递到连接来连接到终结点。（我使用了公司服务的一个 URL，它要求提供证书， 当然，我在自己的密钥存储中导入了哪个证书。)

   URL url = new URL("<endpoint>");
   URLConnection connection = url.openConnection(proxy);
   connection.connect();
   

如果它不能像这样工作（你得到错误），那么尝试使用HttpsURLConnection。

   HttpsURLConnection httpsConnection = (HttpsURLConnection) connection;
   httpsConnection.setAllowUserInteraction(true);
   httpsConnection.setRequestMethod("POST");

基本上，如果服务器（您连接到的URL所指向的资源所在的位置）要求提供凭据，则setAllowUserInteraction会启动，对吗？现在，我无法测试它本身，但是当我看到您是否可以让这个婴儿使用不需要身份验证即可访问其资源的服务器时，那么您就可以了，因为服务器只会要求您仅在已经建立连接后进行身份验证。

如果在这些之后，您仍然收到一些错误，那么请发布它。

根据我上次尝试这样做的记忆，你不能使用.您可以查看支持此功能的Apache HttpClient库。HttpsURLConnection

下面是一个代码示例，给出了该过程的概念：

String server = "example.com";
int port = 443;
EasySSLProtocolSocketFactory psf = new EasySSLProtocolSocketFactory();
InputStream is = readFile("/path/to/certificate");
KeyMaterial km = new KeyMaterial(is, "certpasswd".toCharArray());
easy.setKeyMaterial(km);

Protocol proto = new Protocol("https", (ProtocolSocketFactory) psf, port);
HttpClient httpclient = new HttpClient();
httpclient.getHostConfiguration().setHost(server, port, proto);

编辑（关于汤姆评论）：

以下是有关如何获取存储在 Windows 密钥存储中的证书的一些想法：

• 您需要使用 Sun Cryptography 套件（即 Sun Java 6 JDK）
• 您可以像这样获取密钥库：ks = KeyStore.getInstance("Windows-MY");
• 您可以通过以下方式加载它：.JVM 将加载 Windos 密钥库并负责请求密钥库密码。ks.load(null, null);
• 然后，您可以像导航任何其他密钥库一样导航密钥库。