我有一个用Java编写的内部HTTP服务器;完整的源代码供我使用。 HTTP服务器可以配置任意数量的网站,每个网站都有一个单独的侦听套接字:
skt=SSLServerSocketFactory.getDefault().createServerSocket(prt,bcklog,adr);
使用使用Java keytool创建的标准密钥库,我无法终身学习如何获取与不同侦听套接字关联的不同证书,以便每个配置的网站都拥有自己的证书。
我现在正处于这种状态,因此一些代码示例将非常受欢迎。但是我很欣赏JSSE如何在这方面联系起来的任何一个很好的概述(我已经搜索了Sun的JSSE doco,直到我的大脑疼痛(字面意思;虽然它可能与咖啡因戒断一样多))。
修改
是否没有简单的方法可以使用别名将密钥存储区中的服务器证书与侦听套接字关联起来?那样:
我得到了一个印象(今天下午早些时候),我可以编写一个简单的KeyManager,只有chooseServerAlias(...)返回非null,这是我想要的别名的名字 - 任何人都对该行有任何想法推理?
解决方案
我使用的解决方案是根据slyvarking的答案构建的,用于创建临时密钥存储区,并使用从单个外部密钥存储区提取的所需密钥/证书填充它。对于任何感兴趣的人(svrctfals是我的“服务器证书别名”值),代码如下:
SSLServerSocketFactory ssf; // server socket factory
SSLServerSocket skt; // server socket
// LOAD EXTERNAL KEY STORE
KeyStore mstkst;
try {
String kstfil=GlobalSettings.getString("javax.net.ssl.keyStore" ,System.getProperty("javax.net.ssl.keyStore" ,""));
String ksttyp=GlobalSettings.getString("javax.net.ssl.keyStoreType" ,System.getProperty("javax.net.ssl.keyStoreType" ,"jks"));
char[] kstpwd=GlobalSettings.getString("javax.net.ssl.keyStorePassword",System.getProperty("javax.net.ssl.keyStorePassword","")).toCharArray();
mstkst=KeyStore.getInstance(ksttyp);
mstkst.load(new FileInputStream(kstfil),kstpwd);
}
catch(java.security.GeneralSecurityException thr) {
throw new IOException("Cannot load keystore ("+thr+")");
}
// CREATE EPHEMERAL KEYSTORE FOR THIS SOCKET USING DESIRED CERTIFICATE
try {
SSLContext ctx=SSLContext.getInstance("TLS");
KeyManagerFactory kmf=KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
KeyStore sktkst;
char[] blkpwd=new char[0];
sktkst=KeyStore.getInstance("jks");
sktkst.load(null,blkpwd);
sktkst.setKeyEntry(svrctfals,mstkst.getKey(svrctfals,blkpwd),blkpwd,mstkst.getCertificateChain(svrctfals));
kmf.init(sktkst,blkpwd);
ctx.init(kmf.getKeyManagers(),null,null);
ssf=ctx.getServerSocketFactory();
}
catch(java.security.GeneralSecurityException thr) {
throw new IOException("Cannot create secure socket ("+thr+")");
}
// CREATE AND INITIALIZE SERVER SOCKET
skt=(SSLServerSocket)ssf.createServerSocket(prt,bcklog,adr);
...
return skt;
答案 0 :(得分:8)
最简单的方法是为您的所有域名使用单一证书。将所有其他站点名称放在SAN(主题备用名称)中。
如果您希望为每个域名使用一个证书,则可以编写自己的密钥管理器并使用别名来标识域,以便您可以使用单个密钥库。在我们的系统中,我们制定了一个约定,即密钥库别名始终等于证书中的CN。所以我们可以这样做,
SSLContext sctx1 = SSLContext.getInstance("SSLv3");
sctx1.init(new X509KeyManager[] {
new MyKeyManager("/config/master.jks","changeme".toCharArray(),"site1.example.com")
},null, null);
SSLServerSocketFactory ssf = (SSLServerSocketFactory) sctx1.getServerSocketFactory();
ServerSocket ss1 = ssf.createServerSocket(1234);
...
SSLContext sctx2 = SSLContext.getInstance("SSLv3");
sctx2.init(new X509KeyManager[] {
new MyKeyManager("/config/master.jks","changeme".toCharArray(),"site2.example.com")
},null, null);
ssf = (SSLServerSocketFactory) sctx2.getServerSocketFactory();
ServerSocket ss2 = ssf.createServerSocket(5678);
...
public static class MyKeyManager implements X509KeyManager {
private KeyStore keyStore;
private String alias;
private char[] password;
MyKeyManager(String keyStoreFile, char[] password, String alias)
throws IOException, GeneralSecurityException
{
this.alias = alias;
this.password = password;
InputStream stream = new FileInputStream(keyStoreFile);
keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(stream, password);
}
public PrivateKey getPrivateKey(String alias) {
try {
return (PrivateKey) keyStore.getKey(alias, password);
} catch (Exception e) {
return null;
}
}
public X509Certificate[] getCertificateChain(String alias) {
try {
java.security.cert.Certificate[] certs = keyStore.getCertificateChain(alias);
if (certs == null || certs.length == 0)
return null;
X509Certificate[] x509 = new X509Certificate[certs.length];
for (int i = 0; i < certs.length; i++)
x509[i] = (X509Certificate)certs[i];
return x509;
} catch (Exception e) {
return null;
}
}
public String chooseServerAlias(String keyType, Principal[] issuers,
Socket socket) {
return alias;
}
public String[] getClientAliases(String parm1, Principal[] parm2) {
throw new UnsupportedOperationException("Method getClientAliases() not yet implemented.");
}
public String chooseClientAlias(String keyTypes[], Principal[] issuers, Socket socket) {
throw new UnsupportedOperationException("Method chooseClientAlias() not yet implemented.");
}
public String[] getServerAliases(String parm1, Principal[] parm2) {
return new String[] { alias };
}
public String chooseServerAlias(String parm1, Principal[] parm2) {
return alias;
}
}
答案 1 :(得分:5)
您将无法使用默认SSLServerSocketFactory。
相反,initialize每个网站使用不同的SSLContext,每个网站都使用KeyManagerFactory configured,其密钥库包含具有正确服务器证书的密钥条目。 (初始化KeyManagerFactory后,将其key managers传递给init的{{1}}方法。)
SSLContext被初始化后get its SSLServerSocketFactory,并使用它来创建您的听众。
SSLContext答案 2 :(得分:2)
我最近遇到了类似的情况。我有一个可以托管任意数量网站的自定义嵌入式Java Web服务器。每个网站都有自己的域名。每个网站/域在服务器上分配一个唯一的IP地址。为端口80上的每个IP地址创建一个套接字侦听器。
对于拥有SSL证书的站点,我将密钥和证书导入到单个KeyStore中。我为每个域的SSL证书分配了一个证书别名,以匹配域名。每个具有SSL证书的域/网站都在端口443上分配了一个新的套接字侦听器。
默认情况下,标准Java X509KeyManager和SunX509实现will pick the first aliases it finds for which there is a private key and a key of the right type for the chosen cipher suite (typically RSA)。遗憾的是,所选别名不一定与所请求的域相对应,因此您最终会出现证书错误。
为了解决这个问题,我使用了ZZ Coder's suggestion并实现了自定义X509KeyManager。实际上,对于我的服务器,我需要一个X509ExtendedKeyManager,它有一个额外的chooseEngineServerAlias()方法。
我的自定义KeyManager依赖于主机名及其相应IP地址的哈希映射。当发出新的SSL请求时,它会检查传入的IP地址并找到相应的主机名。然后,它尝试在密钥库中找到与主机名对应的别名。
private class MyKeyManager extends X509ExtendedKeyManager implements X509KeyManager {
private KeyStore keyStore;
private char[] password;
private java.util.HashMap<InetAddress, String> hosts;
public MyKeyManager(KeyStore keystore, char[] password, java.util.HashMap<InetAddress, String> hosts)
throws IOException, GeneralSecurityException {
this.keyStore = keystore;
this.password = password;
this.hosts = hosts;
}
public String chooseEngineServerAlias(String keyType, Principal[] issuers, SSLEngine engine) {
try{
return hosts.get(InetAddress.getByName(engine.getPeerHost()));
}
catch(Exception e){
return null;
}
}
public String chooseServerAlias(String keyType, Principal[] issuers, Socket socket) {
return hosts.get(socket.getLocalAddress());
}
public PrivateKey getPrivateKey(String alias) {
try {
return (PrivateKey) keyStore.getKey(alias, password);
}
catch (Exception e) {
return null;
}
}
public X509Certificate[] getCertificateChain(String alias) {
try {
java.security.cert.Certificate[] certs = keyStore.getCertificateChain(alias);
if (certs == null || certs.length == 0) return null;
X509Certificate[] x509 = new X509Certificate[certs.length];
for (int i = 0; i < certs.length; i++){
x509[i] = (X509Certificate)certs[i];
}
return x509;
}
catch (Exception e) {
e.printStackTrace();
return null;
}
}
public String[] getServerAliases(String keyType, Principal[] issuers) {
throw new UnsupportedOperationException("Method getServerAliases() not yet implemented.");
}
public String[] getClientAliases(String keyType, Principal[] issuers) {
throw new UnsupportedOperationException("Method getClientAliases() not yet implemented.");
}
public String chooseClientAlias(String keyTypes[], Principal[] issuers, Socket socket) {
throw new UnsupportedOperationException("Method chooseClientAlias() not yet implemented.");
}
public String chooseEngineClientAlias(String[] strings, Principal[] prncpls, SSLEngine ssle) {
throw new UnsupportedOperationException("Method chooseEngineClientAlias() not yet implemented.");
}
}
自定义KeyManager用于初始化SSLContext。很酷的是你只需要初始化一个SSLContext。
javax.net.ssl.KeyManager[] kms = new javax.net.ssl.KeyManager[]{
new MyKeyManager(keystore, keypass, hosts)
};
TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
tmf.init(keystore);
javax.net.ssl.TrustManager[] tms = tmf.getTrustManagers();
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(kms, tms, null);