如何为Java服务器提供多个SSL证书
我有一个用Java编写的内部HTTP服务器; 完整的源代码供我使用。 HTTP服务器可以配置任意数量的网站,每个网站都有一个单独的监听套接字创建:
skt=SSLServerSocketFactory.getDefault().createServerSocket(prt,bcklog,adr); 使用使用Java keytool创建的标准密钥库,我不能在我的生活中找出如何获得与不同侦听套接字关联的不同证书,以便每个配置的网站都拥有自己的证书。
我现在正处于这种状态,因此一些代码示例将非常受欢迎。 但是我很欣赏JSSE如何在这方面联系起来的任何好的概述(我已经搜索了Sun的JSSE doco,直到我的大脑疼痛(从字面上看;尽管它可能与咖啡因戒断一样多))。
编辑
有没有简单的方法来使用别名将密钥存储区中的服务器证书与侦听套接字相关联? 以便:
- 客户有一个密钥库来管理所有证书,以及
- 没有必要摆弄多个钥匙店等。
我得到的印象(今天下午早些时候)我可以写一个简单的KeyManager,只有chooseServerAlias(...)返回非null,这是我想要的别名的名字 – 任何人都chooseServerAlias(...)条推理线有任何想法?
解
我使用的解决方案是根据slyvarking的回答构建的, 它创建了一个临时密钥库,并使用从单个外部密钥库中提取的所需密钥/证书填充它。 对于任何感兴趣的人(svrctfals是我的“服务器证书别名”值),代码如下:
SSLServerSocketFactory ssf; // server socket factory SSLServerSocket skt; // server socket // LOAD EXTERNAL KEY STORE KeyStore mstkst; try { String kstfil=GlobalSettings.getString("javax.net.ssl.keyStore" ,System.getProperty("javax.net.ssl.keyStore" ,"")); String ksttyp=GlobalSettings.getString("javax.net.ssl.keyStoreType" ,System.getProperty("javax.net.ssl.keyStoreType" ,"jks")); char[] kstpwd=GlobalSettings.getString("javax.net.ssl.keyStorePassword",System.getProperty("javax.net.ssl.keyStorePassword","")).toCharArray(); mstkst=KeyStore.getInstance(ksttyp); mstkst.load(new FileInputStream(kstfil),kstpwd); } catch(java.security.GeneralSecurityException thr) { throw new IOException("Cannot load keystore ("+thr+")"); } // CREATE EPHEMERAL KEYSTORE FOR THIS SOCKET USING DESIRED CERTIFICATE try { SSLContext ctx=SSLContext.getInstance("TLS"); KeyManagerFactory kmf=KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); KeyStore sktkst; char[] blkpwd=new char[0]; sktkst=KeyStore.getInstance("jks"); sktkst.load(null,blkpwd); sktkst.setKeyEntry(svrctfals,mstkst.getKey(svrctfals,blkpwd),blkpwd,mstkst.getCertificateChain(svrctfals)); kmf.init(sktkst,blkpwd); ctx.init(kmf.getKeyManagers(),null,null); ssf=ctx.getServerSocketFactory(); } catch(java.security.GeneralSecurityException thr) { throw new IOException("Cannot create secure socket ("+thr+")"); } // CREATE AND INITIALIZE SERVER SOCKET skt=(SSLServerSocket)ssf.createServerSocket(prt,bcklog,adr); ... return skt;
最简单的方法是为您的所有域名使用单个证书。 将所有其他站点名称放在SAN(主题备用名称)中。
如果您希望为每个域名使用一个证书,则可以编写自己的密钥管理器并使用别名来标识域,以便可以使用单个密钥库。 在我们的系统中,我们制定了一个约定,即密钥库别名始终等于证书中的CN。 所以我们可以这样做,
SSLContext sctx1 = SSLContext.getInstance("SSLv3"); sctx1.init(new X509KeyManager[] { new MyKeyManager("/config/master.jks","changeme".toCharArray(),"site1.example.com") },null, null); SSLServerSocketFactory ssf = (SSLServerSocketFactory) sctx1.getServerSocketFactory(); ServerSocket ss1 = ssf.createServerSocket(1234); ... SSLContext sctx2 = SSLContext.getInstance("SSLv3"); sctx2.init(new X509KeyManager[] { new MyKeyManager("/config/master.jks","changeme".toCharArray(),"site2.example.com") },null, null); ssf = (SSLServerSocketFactory) sctx2.getServerSocketFactory(); ServerSocket ss2 = ssf.createServerSocket(5678);
…
public static class MyKeyManager implements X509KeyManager { private KeyStore keyStore; private String alias; private char[] password; MyKeyManager(String keyStoreFile, char[] password, String alias) throws IOException, GeneralSecurityException { this.alias = alias; this.password = password; InputStream stream = new FileInputStream(keyStoreFile); keyStore = KeyStore.getInstance(KeyStore.getDefaultType()); keyStore.load(stream, password); } public PrivateKey getPrivateKey(String alias) { try { return (PrivateKey) keyStore.getKey(alias, password); } catch (Exception e) { return null; } } public X509Certificate[] getCertificateChain(String alias) { try { java.security.cert.Certificate[] certs = keyStore.getCertificateChain(alias); if (certs == null || certs.length == 0) return null; X509Certificate[] x509 = new X509Certificate[certs.length]; for (int i = 0; i < certs.length; i++) x509[i] = (X509Certificate)certs[i]; return x509; } catch (Exception e) { return null; } } public String chooseServerAlias(String keyType, Principal[] issuers, Socket socket) { return alias; } public String[] getClientAliases(String parm1, Principal[] parm2) { throw new UnsupportedOperationException("Method getClientAliases() not yet implemented."); } public String chooseClientAlias(String keyTypes[], Principal[] issuers, Socket socket) { throw new UnsupportedOperationException("Method chooseClientAlias() not yet implemented."); } public String[] getServerAliases(String parm1, Principal[] parm2) { return new String[] { alias }; } public String chooseServerAlias(String parm1, Principal[] parm2) { return alias; } }
您将无法使用默认的SSLServerSocketFactory 。
相反,为每个站点初始化一个不同的SSLContext ,每个站点使用一个KeyManagerFactory 配置一个密钥库,该密钥库包含一个具有正确服务器证书的密钥条目。 (初始化KeyManagerFactory ,将其密钥管理器传递给SSLContext的init方法。)
在SSLContext SSLServerSocketFactory之后, 获取其SSLServerSocketFactory ,并使用它来创建您的侦听器。
KeyStore identity = KeyStore.getInstance(KeyStore.getDefaultType()); /* Load the keystore (a different one for each site). */ ... SSLContext ctx = SSLContext.getInstance("TLS"); KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); kmf.init(identity, password); ctx.init(kmf.getKeyManagers(), null, null); SSLServerSocketFactory factory = ctx.getServerSocketFactory(); ServerSocket server = factory.createSocket(port);
我最近遇到了类似的情况。 我有一个可以托管任意数量网站的自定义嵌入式Java Web服务器。 每个网站都有自己的域名。 每个网站/域在服务器上分配一个唯一的IP地址。 为端口80上的每个IP地址创建一个套接字侦听器。
对于具有SSL证书的站点,我将密钥和证书导入到单个KeyStore中。 我为每个域的SSL证书分配了一个证书别名,以匹配域名。 每个具有SSL证书的域/网站都在端口443上分配了一个新的套接字侦听器。
默认情况下,标准Java X509KeyManager和SunX509实现将选择它找到的第一个别名,其中包含私钥和所选密码套件(通常为RSA)的正确类型的密钥 。 遗憾的是,所选别名不一定与所请求的域相对应,因此您最终会出现证书错误。
为了解决这个问题,我使用了ZZ Coder的建议并实现了一个自定义的X509KeyManager。 实际上,对于我的服务器,我需要一个X509ExtendedKeyManager,它有一个额外的chooseEngineServerAlias()方法。
我的自定义KeyManager依赖于主机名及其相应IP地址的哈希映射。 发出新的SSL请求时,它会检查传入的IP地址并找到相应的主机名。 然后,它尝试在密钥库中找到与主机名对应的别名。
private class MyKeyManager extends X509ExtendedKeyManager implements X509KeyManager { private KeyStore keyStore; private char[] password; private java.util.HashMap hosts; public MyKeyManager(KeyStore keystore, char[] password, java.util.HashMap hosts) throws IOException, GeneralSecurityException { this.keyStore = keystore; this.password = password; this.hosts = hosts; } public String chooseEngineServerAlias(String keyType, Principal[] issuers, SSLEngine engine) { try{ return hosts.get(InetAddress.getByName(engine.getPeerHost())); } catch(Exception e){ return null; } } public String chooseServerAlias(String keyType, Principal[] issuers, Socket socket) { return hosts.get(socket.getLocalAddress()); } public PrivateKey getPrivateKey(String alias) { try { return (PrivateKey) keyStore.getKey(alias, password); } catch (Exception e) { return null; } } public X509Certificate[] getCertificateChain(String alias) { try { java.security.cert.Certificate[] certs = keyStore.getCertificateChain(alias); if (certs == null || certs.length == 0) return null; X509Certificate[] x509 = new X509Certificate[certs.length]; for (int i = 0; i < certs.length; i++){ x509[i] = (X509Certificate)certs[i]; } return x509; } catch (Exception e) { e.printStackTrace(); return null; } } public String[] getServerAliases(String keyType, Principal[] issuers) { throw new UnsupportedOperationException("Method getServerAliases() not yet implemented."); } public String[] getClientAliases(String keyType, Principal[] issuers) { throw new UnsupportedOperationException("Method getClientAliases() not yet implemented."); } public String chooseClientAlias(String keyTypes[], Principal[] issuers, Socket socket) { throw new UnsupportedOperationException("Method chooseClientAlias() not yet implemented."); } public String chooseEngineClientAlias(String[] strings, Principal[] prncpls, SSLEngine ssle) { throw new UnsupportedOperationException("Method chooseEngineClientAlias() not yet implemented."); } }
自定义KeyManager用于初始化SSLContext。 很酷的是你只需要初始化一个SSLContext。
javax.net.ssl.KeyManager[] kms = new javax.net.ssl.KeyManager[]{ new MyKeyManager(keystore, keypass, hosts) }; TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509"); tmf.init(keystore); javax.net.ssl.TrustManager[] tms = tmf.getTrustManagers(); SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(kms, tms, null);