如何请求需要客户端证书进行身份验证的URL
我需要从使用客户端证书进行身份验证的服务器请求URL,但是找不到为我的应用程序执行此操作的方法。
我的问题是我正在使用的Java客户端具有本地可用的证书文件,但是由于PC的限制,它将在其上运行,因此无法在密钥库中安装证书。
简而言之,我只是希望能够明确指定要用于我要检索的URL的证书。
有什么建议?
回答:
目前尚不清楚您所讨论的限制是什么。更具体地说,我不确定您认为本地证书文件和密钥库之间的区别是什么。大多数密钥库都是基于文件的,因此您可以直接以这种方式加载文件,而无需安装过程。这些限制是否与JVM本身使用的安全策略有关(这可能会阻止您实例化KeyStores)?
首先,它不仅是客户端所需的证书,还包括其私钥。人们经常在此上下文中使用“证书”一词来表示两者,但是您需要确保您的文件不包含没有私钥的证书。通常,您会在PKCS#12文件(.p12
/ .pfx)中找到私钥+证书的组合,很多工具都以这种格式导入/导出;它也是Sun JVM(类型PKCS12)本地支持的密钥库格式。
要使此工作有效,您需要配置与适当的密钥库建立连接的方式。SSL /
TLS客户端证书身份验证始终由服务器启动:如果客户端拥有证书(并希望使用该证书),则客户端将使用证书进行响应。要为特定的URL配置它,您需要找出是什么原因造成的连接(可能是HttpsURLConnection)并在那里进行设置(除非它是在默认上下文中设置的-
即使它是在默认上下文中设置的,也仅会使用它)对于请求它的服务器)。
要在JVM上全局设置密钥库(这可能是您的限制阻止您执行的操作),可以设置javax.net.ssl.keyStore
javax.net.ssl.keyStorePassword(和相关的)系统属性。(因为密码是可见的,所以最好不要在命令行上输入密码)。
这些系统属性用于配置默认属性SSLContext(通常透明地由库或类使用,例如HttpsURLConnection用于构建SSLSocketFactory,然后SSLSocket用这些属性初始化)。
您可以SSLContext从文件中构建专门用于该连接的文件。该SSLContext实际上是对一个工厂SSLSocketFactory或者SSLEngine,你可以设置SSLSocketFactory在给定的HttpsURLConnection。
下面的代码将SSLContext使用“
/path/to/file.p12”作为密钥库(这是一个具有私钥和要发送的证书的密钥库),并保留信任库的默认设置(您可以还需要捕获输入流的异常)。
KeyStore ks = KeyStore.getInstance("PKCS12");FileInputStream fis = new FileInputStream("/path/to/file.p12");
ks.load(fis, "password".toCharArray());
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
kmf.init(ks, "password".toCharArray());
SSLContext sc = SSLContext.getInstance("TLS");
sc.init(kmf.getKeyManagers(), null, null);
从那里,您可以像这样配置连接(如果这是您正在使用的):
HttpURLConnection connection = (HttpURLConnection) url.openConnection();if (connection instanceof HttpsURLConnection) {
((HttpsURLConnection)connection)
.setSSLSocketFactory(sc.getSocketFactory());
}
一些库会让您SSLContext直接传递(Apache HTTP Client 4支持该传递,而Apache HTTP Client
3可以使用this来完成。)
请注意,加载密钥库时不需要提供密码作为直接参数,还可以使用回调(从GUI的角度来看可能更好)。
也许这个库可以提供帮助(但不是必须的):您可以使用的KeystoreLoader帮助器来实现这一点。该库中也有SSLContextFactories(但是您可能不需要任何包装,因为它们通常用于自定义信任管理或密钥选择)。
通常,这是使用客户端证书进行配置的方式,但是如果不弄清您的限制到底是什么(以及您使用的是哪个库),则很难提供更多详细信息。
以上是 如何请求需要客户端证书进行身份验证的URL 的全部内容, 来源链接: utcz.com/qa/412876.html
