我正在用Java编写一个应用程序,该应用程序通过HTTPS连接到两个Web服务器。一个通过默认信任链获得受信任的证书,另一个使用自签名证书。当然,连接到第一台服务器是开箱即用的,而使用自签名证书连接到服务器直到我使用该服务器的证书创建 trustStore 之前都不起作用。但是,与默认受信任服务器的连接不再有效,因为显然,一旦我创建了自己的信任库,默认的 trustStore 就会被忽略。
我发现的一个解决方案是将默认信任库中的证书添加到我自己的证书库中。但是,我不喜欢这个解决方案,因为它要求我继续管理该trustStore。(我不能假设这些证书在可预见的将来保持不变,对吧?
除此之外,我发现两个5年前的线程有类似的问题:
它们都深入到Java SSL基础架构中。我希望到现在为止有一个更方便的解决方案,我可以在代码的安全审查中轻松解释。
您可以使用与我之前的答案中提到的类似的模式(对于不同的问题)。
实质上,掌握缺省信任管理器,创建使用您自己的信任存储的第二个信任管理器。将它们都包装在自定义信任管理器实现中,该实现将调用委托给两者(当一个失败时,回退到另一个)。
TrustManagerFactory tmf = TrustManagerFactory
.getInstance(TrustManagerFactory.getDefaultAlgorithm());
// Using null here initialises the TMF with the default trust store.
tmf.init((KeyStore) null);
// Get hold of the default trust manager
X509TrustManager defaultTm = null;
for (TrustManager tm : tmf.getTrustManagers()) {
if (tm instanceof X509TrustManager) {
defaultTm = (X509TrustManager) tm;
break;
}
}
FileInputStream myKeys = new FileInputStream("truststore.jks");
// Do the same with your trust store this time
// Adapt how you load the keystore to your needs
KeyStore myTrustStore = KeyStore.getInstance(KeyStore.getDefaultType());
myTrustStore.load(myKeys, "password".toCharArray());
myKeys.close();
tmf = TrustManagerFactory
.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(myTrustStore);
// Get hold of the default trust manager
X509TrustManager myTm = null;
for (TrustManager tm : tmf.getTrustManagers()) {
if (tm instanceof X509TrustManager) {
myTm = (X509TrustManager) tm;
break;
}
}
// Wrap it in your own class.
final X509TrustManager finalDefaultTm = defaultTm;
final X509TrustManager finalMyTm = myTm;
X509TrustManager customTm = new X509TrustManager() {
@Override
public X509Certificate[] getAcceptedIssuers() {
// If you're planning to use client-cert auth,
// merge results from "defaultTm" and "myTm".
return finalDefaultTm.getAcceptedIssuers();
}
@Override
public void checkServerTrusted(X509Certificate[] chain,
String authType) throws CertificateException {
try {
finalMyTm.checkServerTrusted(chain, authType);
} catch (CertificateException e) {
// This will throw another CertificateException if this fails too.
finalDefaultTm.checkServerTrusted(chain, authType);
}
}
@Override
public void checkClientTrusted(X509Certificate[] chain,
String authType) throws CertificateException {
// If you're planning to use client-cert auth,
// do the same as checking the server.
finalDefaultTm.checkClientTrusted(chain, authType);
}
};
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, new TrustManager[] { customTm }, null);
// You don't have to set this as the default context,
// it depends on the library you're using.
SSLContext.setDefault(sslContext);
您不必将该上下文设置为默认上下文。如何使用它取决于您使用的客户端库(以及它从何处获取套接字工厂)。
话虽如此,原则上,无论如何,您始终必须根据需要更新信任库。Java 7 JSSE 参考指南对此有一个“重要说明”,现在在同一指南的版本 8 中降级为“注意”:
JDK 在 java-home/lib/security/cacerts 文件中附带了有限数量的可信根证书。如 keytool 参考页中所述,如果您将此文件用作信任库,则您有责任维护(即添加和删除)此文件中包含的证书。
根据您联系的服务器的证书配置,您可能需要添加其他根证书。从相应的供应商处获取所需的特定根证书。
也许我来不及回答这个问题已经6年了,但它可能对其他开发人员也有帮助。我还遇到了加载缺省信任库和我自己的自定义信任库的相同挑战。在对多个项目使用相同的自定义解决方案后,我认为创建一个库并使其公开可用以回馈社区会很方便。请看这里: Github - SSLContext-Kickstart
用法:
import nl.altindag.ssl.SSLFactory;
import javax.net.ssl.SSLContext;
import java.security.cert.X509Certificate;
import java.nio.file.Path;
import java.util.List;
public class App {
public static void main(String[] args) {
Path trustStorePath = ...;
char[] password = "password".toCharArray();
SSLFactory sslFactory = SSLFactory.builder()
.withDefaultTrustMaterial()
.withTrustMaterial(trustStorePath, password)
.build();
SSLContext sslContext = sslFactory.getSslContext();
List<X509Certificate> trustedCertificates = sslFactory.getTrustedCertificates();
}
}
我不太确定我是否应该在这里发布这个,因为它也可以被视为推广“我的库”的一种方式,但我认为这对遇到同样挑战的开发人员可能有所帮助。
您可以使用以下代码段添加依赖项:
<dependency>
<groupId>io.github.hakky54</groupId>
<artifactId>sslcontext-kickstart</artifactId>
<version>7.4.4</version>
</dependency>
