java - 使用自签名证书和 SSLEngine (JSSE) 的 SSL 握手

Question

我的任务是实现一个自定义/独立的 Java 网络服务器，该服务器可以在同一端口上处理 SSL 和非 SSL 消息。

我已经实现了一个 NIO 服务器，它对非 SSL 请求工作得很好。我在 SSL 部分玩得很开心，真的需要一些指导。

这是我到目前为止所做的。

为了区分 SSL 和非 SSL 消息，我检查入站请求的第一个字节，看它是否是 SSL/TLS 消息。示例:

   byte a = read(buf);
   if (totalBytesRead==1 && (a>19 && a<25)){
       parseTLS(buf);
   }

在 parseTLS() 方法中，我像这样实例化了一个 SSLEngine:

   java.security.KeyStore ks = java.security.KeyStore.getInstance("JKS");
   java.security.KeyStore ts = java.security.KeyStore.getInstance("JKS");

   ks.load(new java.io.FileInputStream(keyStoreFile), passphrase);
   ts.load(new java.io.FileInputStream(trustStoreFile), passphrase);

   KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
   kmf.init(ks, passphrase);

   TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
   tmf.init(ts);

   SSLContext sslc = SSLContext.getInstance("TLS");     
   sslc.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);


   SSLEngine serverEngine = sslc.createSSLEngine();
   serverEngine.setUseClientMode(false);
   serverEngine.setEnableSessionCreation(true);
   serverEngine.setWantClientAuth(true);

实例化 SSLEngine 后，我使用直接来自官方的代码使用 unwrap/wrap 方法处理入站数据 JSSE Samples :

   log("----");

   serverResult = serverEngine.unwrap(inNetData, inAppData);
   log("server unwrap: ", serverResult);
   runDelegatedTasks(serverResult, serverEngine);

   log("----");

   serverResult = serverEngine.wrap(outAppData, outNetData);
   log("server wrap: ", serverResult);
   runDelegatedTasks(serverResult, serverEngine);

握手的第一部分似乎工作得很好。客户端发送握手消息，服务器响应一条包含 4 条记录的消息:

handshake (22)
- server_hello (2) 
- certificate (11) 
- server_key_exchange (12)
- certificate_request (13) 
- server_hello_done (14)

接下来，客户端发送一个包含三个部分的消息:

handshake (22)
 - certificate (11)
 - client_key_exchange (16)

change_cipher_spec (20)
 - client_hello (1)

handshake (22)
 *** Encrypted Message ****

SSLEngine 解包客户端请求并解析记录，但 wrap 方法生成 0 个字节，握手状态为 OK/NEED_UNWRAP。换句话说，我没有任何东西可以发回给客户，握手戛然而止。

这就是我卡住的地方。

在调试器中，我可以看到 SSLEngine，特别是 ServerHandshaker，没有找到任何对等证书。当我查看来自客户端的 0 字节长的证书记录时，这是相当明显的。但是为什么？

我只能假设 HelloServer 响应有问题，但我似乎无法确定。服务器似乎正在发送有效证书，但客户端没有发回任何内容。我的 keystore 有问题吗？还是信任库？或者它与我实例化 SSLEngine 的方式有关吗？我很难过。

其他几点:

• 上面代码片段中引用的 keystore 和信任库是使用以下教程创建的: http://www.techbrainwave.com/?p=953
• 我使用 Firefox 10 和 IE 9 作为客户端来测试服务器。两个 Web 客户端的结果相同。
• 我使用的是 Sun/Oracle JDK 6 和与其捆绑在一起的 Java 安全套接字扩展 (JSSE)。

我期待着您可能获得的任何指导，但请不要告诉我我疯了或使用 Netty 或 Grizzly 或其他一些现有解决方案。目前这不是一个选择。我只想了解我做错了什么。

提前致谢!

Answer 1

你有 NEED_UNWRAP，所以做一个解包。这反过来可能会给你 BUFFER_UNDERFLOW，这意味着你必须进行读取并重试解包。

类似地，当您获得 NEED_WRAP 时，进行换行:这反过来可能会给您 BUFFER_OVERFLOW，这意味着您必须进行写入并重试换行。

wrap 或 unwrap 可能会反过来告诉你做另一个操作:wrap 或 unwrap。

按照它告诉你的去做。