如果Jetty的密钥库中有多个证书,它如何选择?
我们的系统中有一些代码用于自动生成自签名证书到密钥存储区,然后由Jetty使用。 如果给定主机的密钥已经存在,则没有任何反应,但如果它不存在,我们会生成一个新密钥,如下所示:
public void generateKey(String commonName) { X500Name x500Name = new X500Name("CN=" + commonName); CertAndKeyGen keyPair = new CertAndKeyGen("DSA", "SHA1withDSA"); keyPair.generate(1024); PrivateKey privateKey = keyPair.getPrivateKey(); X509Certificate certificate = keyPair.getSelfCertificate(x500Name, 20*365*24*60*60); Certificate[] chain = { certificate }; keyStore.setEntry(commonName, privateKey, "secret".toCharArray(), chain); } 只要密钥库中只有一个密钥和证书,这一切都可以正常工作。 一旦你有多个密钥,当你尝试连接时会发生奇怪的事情:
java.io.IOException: HTTPS hostname wrong: should be
这是一个非常神秘的错误,但我终于设法通过编写连接到服务器的unit testing来跟踪它,并断言证书上的CN与主机名匹配。 我发现的很有趣 – Jetty似乎随意选择向客户提供哪种证书,但是以一致的方式。
例如:
- 如果“CN = localhost”和“CN = cheese.mydomain”在密钥库中,则它总是选择“CN = cheese.mydomain”。
- 如果“CN = 127.0.0.1”和“CN = cheese.mydomain”在密钥库中,则它总是选择“CN = cheese.mydomain”。
- 如果“CN = 192.168.222.100”(cheese.mydomain)和“CN = cheese.mydomain”在密钥库中,则它总是选择“CN = 192.168.222.100”。
我写了一些代码,这些代码循环遍历商店中的证书以将其打印出来,并发现它并不是一直选择第一个证书或类似的任何微不足道的东西。
那么它究竟使用什么标准呢? 最初我认为localhost很特别,但第三个例子完全让我感到困惑。
我认为这是由KeyManagerFactory以某种方式决定的,在我的情况下是SunX509。
这确实最终由KeyManager决定(通常从KeyManagerFactory获得)。
密钥库可以在不同的别名下存储许多证书。 如果在Jetty配置中没有通过certAlias显式配置别名,则SunX509实现将选择它找到的第一个别名,其中有一个私钥和一个所选密码套件的正确类型的密钥(通常是RSA,但可能是DSA in你的情况在这里)。 如果你看一下Sun提供程序的实现 ,那么选择逻辑会有更多的内容,但你不应该真正依赖于顺序,只需要别名。
您当然可以使用自己的X509KeyManager为Jetty提供自己的SSLContext来选择别名。 你必须实现:
chooseServerAlias(String keyType, Principal[] issuers, Socket socket)
不幸的是,除了keyType和issuers ,你所做出的决定就是socket本身。 充其量,您获得的有用信息是本地IP地址和远程IP地址。
除非您的服务器在同一端口上侦听多个IP地址,否则您将始终获得相同的本地IP地址。 (这里,显然,你至少有两个: 127.0.0.1和192.168.222.100 ,但我怀疑你对localhost不感兴趣,除了你自己的测试。)你需要服务器上的服务器名称指示(SNI)支持能够根据请求的主机名(由支持它的客户端)做出决定。 不幸的是, SNI仅在Java 7中引入,但仅在客户端引入 。
您将面临的另一个问题是Java客户端会抱怨Subject DN的CN中的IP地址 。 有些浏览器会容忍这种情况,但这不符合HTTPS规范(RFC 2818)。 IP地址必须是IP地址类型的主题备用名称条目。