使用twitter finagle的客户端证书

时间:2015-06-09 10:39:52

标签: scala ssl curl

我的服务器正在使用TLSv1.2,并且需要客户端证书才能进行连接。我可以使用CURL向服务器发送请求(此请求正常):

curl --data "SAMPLETEXT" https://myserver.com/webservice --insecure --key privkey.pem --cert certificate.cert

(是的,服务器有自签名证书,需要--insecure标志;不,我无法修复此问题。 现在,我想创建客户端以从Scala代码发送请求。 MyClient是包含所需密码和路径的对象。为此,我创建了SSLContext

  private val keyStore = {
    //Setting up BouncyCastle provider for message signing
    Security.addProvider(new BouncyCastleProvider())
    //Loading keystore from specified file
    val clientStore = KeyStore.getInstance("JKS")
    val inputStream = new FileInputStream(MyClient.keystore)
    clientStore.load(inputStream, MyClient.keystorePassword.toCharArray)
    inputStream.close()
    clientStore
  }

  //Retrieving certificate and key
  private val cert = keyStore.getCertificate(MyClient.keyAlias).asInstanceOf[X509Certificate]
  private val key = keyStore.getKey(MyClient.keyAlias, MyClient.keystorePassword.toCharArray).asInstanceOf[PrivateKey]

  //Creating SSL context
  private val sslContext = {
    val context = SSLContext.getInstance("TLS")
    val tmf: TrustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm)
    val kmf: KeyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm)
    kmf.init(keyStore, MyClient.keystorePassword.toCharArray)
    tmf.init(keyStore)
    context.init(kmf.getKeyManagers, tmf.getTrustManagers, null)
    context
  }

以后用它来构建客户端:

  private val httpClient =
  richHttpBuilder(HttpEndpoint(baseUri))
    .hostConnectionLimit(1)
    .tlsWithoutValidation()
    .tls(sslContext, Some(MyClient.host))
    .build()

但我仍然收到错误:

  

未来返回了类型的异常:   com.twitter.finagle.ChannelWriteException,带有消息:   com.twitter.finagle.SslHandshakeException:一般SSLEngine问题   在远程地址:

我做错了什么?

1 个答案:

答案 0 :(得分:3)

我花了一个星期才意识到我做错了什么。

选项.tlsWithoutValidation().tls(sslContext, Some(MyClient.host))不能同时使用,因为它们配置了构建器的相同属性(Transport.TLSClientEngine)。

有三种解决方案。

  1. 使用正确的服务器证书。不幸的是,这个不适用。

  2. 将服务器证书添加到密钥库。它将被标记为受信任,客户将很乐意在没有tlsWithoutValidation的情况下工作。

  3. 使用无效的信任管理器:

      private[this] class IgnorantTrustManager extends X509TrustManager {
    def getAcceptedIssuers(): Array[X509Certificate] = new Array[X509Certificate](0)
    def checkClientTrusted(certs: Array[X509Certificate], authType: String) {
    }
    def checkServerTrusted(certs: Array[X509Certificate], authType: String) {
    }
  }

    然后将其用作信任管理员:

    context.init(kmf.getKeyManagers, new IgnorantTrustManager(), null)
    必须删除

    tlsWithoutValidation选项:

      richHttpBuilder(HttpEndpoint(baseUri))
    .hostConnectionLimit(1)
    .tls(sslContext, Some(YandexClient.host))
    .build()

    此解决方案消除了证书的整个目的,因此它应仅用于测试。

相关问题
最新问题