java - 我怎样才能为 Java 服务器拥有多个 SSL 证书

标签 java ssl certificate

我有一个用 Java 编写的内部 HTTP 服务器;完整的源代码供我使用。 HTTP 服务器可以配置任意数量的网站,每个网站都将有一个单独的监听套接字:

skt=SSLServerSocketFactory.getDefault().createServerSocket(prt,bcklog,adr);

使用由 Java keytool 创建的标准 key 存储,我一生都无法弄清楚如何获得与不同监听套接字关联的不同证书,以便每个配置的网站都有自己的证书。

我现在时间紧迫,所以非常感谢一些说明性的代码示例。但我非常希望能有任何关于 JSSE 在这方面如何结合在一起的很好的概述(我搜索了 Sun 的 JSSE doco,直到我的大脑受伤(字面意思;尽管它可能与咖啡因戒断一样多)。

编辑

是否没有使用别名将 keystore 中的服务器证书与监听套接字相关联的简单方法?这样:

  • 客户有一个 keystore 来管理所有证书,并且
  • 无需摆弄多个 key 存储等。

我得到的印象是(今天下午早些时候)我可以编写一个简单的 KeyManager,只有 chooseServerAlias(...) 返回非 null,这是我想要的别名的名称- 有人对这种推理有任何想法吗?

解决方案

我使用的解决方案,构建自 slyvarking的答案是创建一个临时 keystore ,并使用从单个外部 keystore 中提取的所需 key /证书填充它。任何感兴趣的人都可以遵循代码(svrctfals 是我的“服务器证书别名”值):

    SSLServerSocketFactory              ssf;                                    // server socket factory
    SSLServerSocket                     skt;                                    // server socket

    // LOAD EXTERNAL KEY STORE
    KeyStore mstkst;
    try {
        String   kstfil=GlobalSettings.getString("javax.net.ssl.keyStore"        ,System.getProperty("javax.net.ssl.keyStore"        ,""));
        String   ksttyp=GlobalSettings.getString("javax.net.ssl.keyStoreType"    ,System.getProperty("javax.net.ssl.keyStoreType"    ,"jks"));
        char[]   kstpwd=GlobalSettings.getString("javax.net.ssl.keyStorePassword",System.getProperty("javax.net.ssl.keyStorePassword","")).toCharArray();

        mstkst=KeyStore.getInstance(ksttyp);
        mstkst.load(new FileInputStream(kstfil),kstpwd);
        }
    catch(java.security.GeneralSecurityException thr) {
        throw new IOException("Cannot load keystore ("+thr+")");
        }

    // CREATE EPHEMERAL KEYSTORE FOR THIS SOCKET USING DESIRED CERTIFICATE
    try {
        SSLContext        ctx=SSLContext.getInstance("TLS");
        KeyManagerFactory kmf=KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        KeyStore          sktkst;
        char[]            blkpwd=new char[0];

        sktkst=KeyStore.getInstance("jks");
        sktkst.load(null,blkpwd);
        sktkst.setKeyEntry(svrctfals,mstkst.getKey(svrctfals,blkpwd),blkpwd,mstkst.getCertificateChain(svrctfals));
        kmf.init(sktkst,blkpwd);
        ctx.init(kmf.getKeyManagers(),null,null);
        ssf=ctx.getServerSocketFactory();
        }
    catch(java.security.GeneralSecurityException thr) {
        throw new IOException("Cannot create secure socket ("+thr+")");
        }

    // CREATE AND INITIALIZE SERVER SOCKET
    skt=(SSLServerSocket)ssf.createServerSocket(prt,bcklog,adr);
    ...
    return skt;

最佳答案

最简单的方法是为您的所有域名使用一个证书。将所有其他站点名称放在 SAN(主题备用名称)中。

如果您更喜欢每个域名一个证书,您可以编写自己的 key 管理器并使用别名来标识域,这样您就可以使用单个 keystore 。在我们的系统中,我们约定 keystore 别名始终等于证书中的 CN。所以我们可以做这样的事情,

SSLContext sctx1 = SSLContext.getInstance("SSLv3");
sctx1.init(new X509KeyManager[] { 
    new MyKeyManager("/config/master.jks","changeme".toCharArray(),"site1.example.com")
    },null, null);
SSLServerSocketFactory ssf = (SSLServerSocketFactory) sctx1.getServerSocketFactory();
ServerSocket ss1 = ssf.createServerSocket(1234);

...

SSLContext sctx2 = SSLContext.getInstance("SSLv3");
sctx2.init(new X509KeyManager[] { 
    new MyKeyManager("/config/master.jks","changeme".toCharArray(),"site2.example.com") 
    },null, null);
ssf = (SSLServerSocketFactory) sctx2.getServerSocketFactory();
ServerSocket ss2 = ssf.createServerSocket(5678);

...

public static class MyKeyManager implements X509KeyManager {
    private KeyStore keyStore;
    private String alias;
    private char[] password;

    MyKeyManager(String keyStoreFile, char[] password, String alias)
        throws IOException, GeneralSecurityException
    {
        this.alias = alias;
        this.password = password;
        InputStream stream = new FileInputStream(keyStoreFile);
        keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        keyStore.load(stream, password);
    }

    public PrivateKey getPrivateKey(String alias) {
        try {
            return (PrivateKey) keyStore.getKey(alias, password);
        } catch (Exception e) {
            return null;
        }
    }

    public X509Certificate[] getCertificateChain(String alias) {
        try {
            java.security.cert.Certificate[] certs = keyStore.getCertificateChain(alias);
            if (certs == null || certs.length == 0)
                return null;
            X509Certificate[] x509 = new X509Certificate[certs.length];
            for (int i = 0; i < certs.length; i++)
                x509[i] = (X509Certificate)certs[i];
            return x509;
        } catch (Exception e) {
            return null;
        }          
    }

    public String chooseServerAlias(String keyType, Principal[] issuers,
                                    Socket socket) {
        return alias;
    }

    public String[] getClientAliases(String parm1, Principal[] parm2) {
        throw new UnsupportedOperationException("Method getClientAliases() not yet implemented.");
    }

    public String chooseClientAlias(String keyTypes[], Principal[] issuers, Socket socket) {
        throw new UnsupportedOperationException("Method chooseClientAlias() not yet implemented.");
    }

    public String[] getServerAliases(String parm1, Principal[] parm2) {
        return new String[] { alias };
    }

    public String chooseServerAlias(String parm1, Principal[] parm2) {
        return alias;
    }
}

关于java - 我怎样才能为 Java 服务器拥有多个 SSL 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1788031/

上一篇:java - 安卓 ListView : header and footer views

下一篇:java - hibernate/GORM : collection was not processed by flush()

相关文章:

Java 文件格式化正确顺序

security - 友好 URL 在 HTTPS 下是否安全?

ios - 无法修复代码签名问题 : Xcode7. 3

java - 一个按钮不会出现

java - Z3 Java API : when to dispose expressions/Z3 objects?

java - 将 pdf 作为在 docker 容器中运行的 spring 应用程序的静态资源

ssl - 在 kafka 集群上启用 ssl 时 kafka-connect 启动失败

ssl - Liferay 使用 http 和 https

nginx 1.6 上的 SSL 配置

WCF,自签名加密证书

©2024 IT工具网  联系我们