Java:如何添加SSL客户端身份验证
问题内容:
我有以下代码使用SSL将服务器与客户端连接,现在我想添加客户端身份验证:
(我有一个服务器密钥库(JCEKS类型)和一个客户端密钥库(JKS类型),服务器使用了一个信任库(证书),在其中我导入了两个证书,因为我也想使用此信任库进行客户端身份验证)
客户代码:
System.setProperty("javax.net.ssl.trustStore", cerServer);
System.setProperty("javax.net.ssl.trustStoreType","JCEKS");
System.setProperty("javax.net.ssl.trustStorePassword", pwdCacerts);
SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
SSLSocket sslsocket = (SSLSocket) sslsocketfactory.createSocket("localhost", port);
服务器代码:
KeyStore ks = LoadKeyStore(new File(serverKeyStore), pwdKeyStore, "JCEKS");
KeyManagerFactory kmf;
kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(ks, pwdKeyStore.toCharArray());
SSLContext sc = SSLContext.getInstance("SSL");
sc.init(kmf.getKeyManagers(),null, null);
SSLServerSocketFactory ssf = sc.getServerSocketFactory();
sslserversocket = (SSLServerSocket) ssf.createServerSocket(port);
在此先感谢您的帮助。
编辑:我在服务器端添加此代码:
System.setProperty("javax.net.ssl.trustStore", cacerts);
System.setProperty("javax.net.ssl.trustStoreType","JKS");
System.setProperty("javax.net.ssl.trustStorePassword", pwdCacerts);
但是,如果我删除cacerts中的客户端证书,则连接不会给我错误,因此我认为这样做是错误的
问题答案:
如果您希望系统使用客户端证书身份验证,则需要
-
服务器请求(或要求)客户证书。这是通过
setWantClientAuth(true)在服务器套接字(或setNeedClientAuth)上进行设置来完成的。您还需要服务器公布它接受的CA,通常通过使用服务器上的信任库来完成,该信任库包含颁发客户端证书链的CA(这似乎是您通过设置javax.net.ssl.trustStore*在服务器上)。 -
要使用包含客户端证书(如果有中间CA的话,可以是链)的密钥库配置的客户端。可以通过设置
javax.net.ssl.keyStore*(可能会影响其他连接)或使用与KeyManagerFactory在服务器端相同的方式来完成此操作。
如果您使用setWantClientAuth(true),则可能仍未收到错误,因为服务器将接受没有客户端证书的连接(然后服务器将检查SSLSession的对等证书以查看是否有证书)。setNeedClientAuth(true)客户端不提供证书时将断开连接。
