Сертифікати клієнта Java через HTTPS / SSL

Я використовую Java 6 і намагаюся створити HttpsURLConnectionпроти віддаленого сервера, використовуючи сертифікат клієнта.
Сервер використовує самопідписаний кореневий сертифікат і вимагає представити захищений паролем сертифікат клієнта. Я додав кореневий сертифікат сервера та клієнтський сертифікат до зберігання ключів Java за замовчуванням, у якому я знайшов /System/Library/Frameworks/JavaVM.framework/Versions/1.6.0/Home/lib/security/cacerts(OSX 10.5). Ім'я файлу зберігання ключів, здається, говорить про те, що клієнтський сертифікат не повинен туди входити?

Як би там не було, додавання кореневого сертифіката в цей магазин вирішило сумнозвісний характер javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed' problem.

Однак я зараз зациклювався на тому, як використовувати сертифікат клієнта. Я спробував два підходи, і жоден ні звідки не потрапляє.
Спочатку і бажано спробувати:

SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
URL url = new URL("https://somehost.dk:3049");
HttpsURLConnection conn = (HttpsURLConnection)url.openConnection();
conn.setSSLSocketFactory(sslsocketfactory);
InputStream inputstream = conn.getInputStream();
// The last line fails, and gives:
// javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

Я спробував пропустити клас HttpsURLConnection (не ідеально, оскільки я хочу поговорити HTTP з сервером), і зробіть це замість цього:

SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
SSLSocket sslsocket = (SSLSocket) sslsocketfactory.createSocket("somehost.dk", 3049);
InputStream inputstream = sslsocket.getInputStream();
// do anything with the inputstream results in:
// java.net.SocketTimeoutException: Read timed out

Я навіть не впевнений, що тут проблема в сертифікаті клієнта.

Нарешті вирішив це;). Є сильний натяк тут (Gandalfs відповідь торкнувся трохи на ньому, а). Пропущені посилання були (в основному) першими з наведених нижче параметрів, і я певною мірою не помічав різниці між магазинами клавіш і довірями.

Сертифікат самопідписаного сервера повинен бути імпортований у сховище довіри:

keytool -import -alias gridserver -file gridserver.crt -storepass $ PASS -keystore gridserver.keystore

Ці властивості потрібно встановити (або в командному рядку, або в коді):

-Djavax.net.ssl.keyStoreType=pkcs12
-Djavax.net.ssl.trustStoreType=jks
-Djavax.net.ssl.keyStore=clientcertificate.p12
-Djavax.net.ssl.trustStore=gridserver.keystore
-Djavax.net.debug=ssl # very verbose debug
-Djavax.net.ssl.keyStorePassword=$PASS
-Djavax.net.ssl.trustStorePassword=$PASS

Код робочого прикладу:

SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
URL url = new URL("https://gridserver:3049/cgi-bin/ls.py");
HttpsURLConnection conn = (HttpsURLConnection)url.openConnection();
conn.setSSLSocketFactory(sslsocketfactory);
InputStream inputstream = conn.getInputStream();
InputStreamReader inputstreamreader = new InputStreamReader(inputstream);
BufferedReader bufferedreader = new BufferedReader(inputstreamreader);

String string = null;
while ((string = bufferedreader.readLine()) != null) {
    System.out.println("Received " + string);
}

Хоча це не рекомендується, ви також можете повністю відключити перевірку сертифікатів SSL:

import javax.net.ssl.*;
import java.security.SecureRandom;
import java.security.cert.X509Certificate;

public class SSLTool {

  public static void disableCertificateValidation() {
    // Create a trust manager that does not validate certificate chains
    TrustManager[] trustAllCerts = new TrustManager[] { 
      new X509TrustManager() {
        public X509Certificate[] getAcceptedIssuers() { 
          return new X509Certificate[0]; 
        }
        public void checkClientTrusted(X509Certificate[] certs, String authType) {}
        public void checkServerTrusted(X509Certificate[] certs, String authType) {}
    }};

    // Ignore differences between given hostname and certificate hostname
    HostnameVerifier hv = new HostnameVerifier() {
      public boolean verify(String hostname, SSLSession session) { return true; }
    };

    // Install the all-trusting trust manager
    try {
      SSLContext sc = SSLContext.getInstance("SSL");
      sc.init(null, trustAllCerts, new SecureRandom());
      HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
      HttpsURLConnection.setDefaultHostnameVerifier(hv);
    } catch (Exception e) {}
  }
}

Ви встановили властивості KeyStore та / або System TrustStore?

java -Djavax.net.ssl.keyStore=pathToKeystore -Djavax.net.ssl.keyStorePassword=123456

або з кодом

System.setProperty("javax.net.ssl.keyStore", pathToKeyStore);

Те саме з javax.net.ssl.trustStore

Якщо ви маєте справу з викликом веб-служби за допомогою рамки Axis, відповідь набагато простіша. Якщо ваш клієнт має змогу викликати веб-службу SSL та ігнорувати помилки сертифіката SSL, просто покладіть це твердження перед тим, як звернутися до будь-яких веб-служб:

System.setProperty("axis.socketSecureFactory", "org.apache.axis.components.net.SunFakeTrustSocketFactory");

Застосовуються звичні відмови від того, що це дуже погана річ у виробничих умовах.

Я знайшов це на вікі Axis .

Для мене це те, що працювало за допомогою Apache HttpComponents ~ HttpClient 4.x:

    KeyStore keyStore  = KeyStore.getInstance("PKCS12");
    FileInputStream instream = new FileInputStream(new File("client-p12-keystore.p12"));
    try {
        keyStore.load(instream, "helloworld".toCharArray());
    } finally {
        instream.close();
    }

    // Trust own CA and all self-signed certs
    SSLContext sslcontext = SSLContexts.custom()
        .loadKeyMaterial(keyStore, "helloworld".toCharArray())
        //.loadTrustMaterial(trustStore, new TrustSelfSignedStrategy()) //custom trust store
        .build();
    // Allow TLSv1 protocol only
    SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
        sslcontext,
        new String[] { "TLSv1" },
        null,
        SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER); //TODO
    CloseableHttpClient httpclient = HttpClients.custom()
        .setHostnameVerifier(SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER) //TODO
        .setSSLSocketFactory(sslsf)
        .build();
    try {

        HttpGet httpget = new HttpGet("https://localhost:8443/secure/index");

        System.out.println("executing request" + httpget.getRequestLine());

        CloseableHttpResponse response = httpclient.execute(httpget);
        try {
            HttpEntity entity = response.getEntity();

            System.out.println("----------------------------------------");
            System.out.println(response.getStatusLine());
            if (entity != null) {
                System.out.println("Response content length: " + entity.getContentLength());
            }
            EntityUtils.consume(entity);
        } finally {
            response.close();
        }
    } finally {
        httpclient.close();
    }

Файл P12 містить сертифікат клієнта та приватний ключ клієнта, створений за допомогою BouncyCastle:

public static byte[] convertPEMToPKCS12(final String keyFile, final String cerFile,
    final String password)
    throws IOException, CertificateException, KeyStoreException, NoSuchAlgorithmException,
    NoSuchProviderException
{
    // Get the private key
    FileReader reader = new FileReader(keyFile);

    PEMParser pem = new PEMParser(reader);
    PEMKeyPair pemKeyPair = ((PEMKeyPair)pem.readObject());
    JcaPEMKeyConverter jcaPEMKeyConverter = new JcaPEMKeyConverter().setProvider("BC");
    KeyPair keyPair = jcaPEMKeyConverter.getKeyPair(pemKeyPair);

    PrivateKey key = keyPair.getPrivate();

    pem.close();
    reader.close();

    // Get the certificate
    reader = new FileReader(cerFile);
    pem = new PEMParser(reader);

    X509CertificateHolder certHolder = (X509CertificateHolder) pem.readObject();
    java.security.cert.Certificate x509Certificate =
        new JcaX509CertificateConverter().setProvider("BC")
            .getCertificate(certHolder);

    pem.close();
    reader.close();

    // Put them into a PKCS12 keystore and write it to a byte[]
    ByteArrayOutputStream bos = new ByteArrayOutputStream();
    KeyStore ks = KeyStore.getInstance("PKCS12", "BC");
    ks.load(null);
    ks.setKeyEntry("key-alias", (Key) key, password.toCharArray(),
        new java.security.cert.Certificate[]{x509Certificate});
    ks.store(bos, password.toCharArray());
    bos.close();
    return bos.toByteArray();
}

Я використовую пакет HTTP-клієнта Apache commons, щоб зробити це в моєму поточному проекті, і він прекрасно працює з SSL і самопідписаним сертифікатом (після встановлення його в касети, як ви згадали). Будь ласка, подивіться на це тут:

http://hc.apache.org/httpclient-3.x/tutorial.html

http://hc.apache.org/httpclient-3.x/sslguide.html

Я думаю, у вас є проблема з вашим серверним сертифікатом, це не дійсний сертифікат (я думаю, що в цьому випадку означає "handshake_failure"):

Імпортуйте ваш серверний сертифікат у ваш сховище довірених клавіш на JRE клієнта. Це легко зробити за допомогою keytool :

keytool
    -import
    -alias <provide_an_alias>
    -file <certificate_file>
    -keystore <your_path_to_jre>/lib/security/cacerts

Використовуючи код нижче

-Djavax.net.ssl.keyStoreType=pkcs12

або

System.setProperty("javax.net.ssl.keyStore", pathToKeyStore);

зовсім не потрібно. Також немає необхідності створювати власну фабрику SSL.

Я також зіткнувся з тим же питанням, у моєму випадку виникла проблема, що повний ланцюжок сертифікатів не був імпортований у довірені магазини. Імпортуйте сертифікати за допомогою утиліти keytool right root для кореневого сертифіката, також ви можете відкрити файл кесерів у блокноті і побачити, чи імпортується повна ланцюжок сертифікатів чи ні. Перевірте ім'я псевдоніму, яке ви вказали під час імпорту сертифікатів, відкрийте сертифікати і подивіться, скільки в них міститься, стільки ж сертифікатів повинно бути там у файлі касертів.

Також файл cacerts повинен бути налаштований на сервері, на якому працює ваша програма, два сервери будуть автентифікувати один одного за допомогою публічних / приватних ключів.