使用自签名证书和SSLEngine(JSSE)的SSL握手
我的任务是实现一个可以在同一端口上处理SSL和非SSL消息的自定义/独立Java Web服务器。
我已经实现了一个NIO服务器,它非常适用于非SSL请求。 我对SSL片段感到非常兴奋,并且可以使用一些指导。
这是我到目前为止所做的。
为了区分SSL和非SSL消息,我检查入站请求的第一个字节以查看它是否是SSL / TLS消息。 例:
byte a = read(buf); if (totalBytesRead==1 && (a>19 && a<25)){ parseTLS(buf); } 在parseTLS()方法中,我实例化一个SSLEngine,如下所示:
java.security.KeyStore ks = java.security.KeyStore.getInstance("JKS"); java.security.KeyStore ts = java.security.KeyStore.getInstance("JKS"); ks.load(new java.io.FileInputStream(keyStoreFile), passphrase); ts.load(new java.io.FileInputStream(trustStoreFile), passphrase); KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509"); kmf.init(ks, passphrase); TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509"); tmf.init(ts); SSLContext sslc = SSLContext.getInstance("TLS"); sslc.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); SSLEngine serverEngine = sslc.createSSLEngine(); serverEngine.setUseClientMode(false); serverEngine.setEnableSessionCreation(true); serverEngine.setWantClientAuth(true);
一旦SSLEngine被实例化,我使用unwrap / wrap方法使用直接来自官方JSSE Samples的代码处理入站数据:
log("----"); serverResult = serverEngine.unwrap(inNetData, inAppData); log("server unwrap: ", serverResult); runDelegatedTasks(serverResult, serverEngine); log("----"); serverResult = serverEngine.wrap(outAppData, outNetData); log("server wrap: ", serverResult); runDelegatedTasks(serverResult, serverEngine);
握手的第一部分似乎工作正常。 客户端发送握手消息,服务器响应4条记录的消息:
handshake (22) - server_hello (2) - certificate (11) - server_key_exchange (12) - certificate_request (13) - server_hello_done (14)
接下来,客户端发送包含三个部分的消息:
handshake (22) - certificate (11) - client_key_exchange (16) change_cipher_spec (20) - client_hello (1) handshake (22) *** Encrypted Message ****
SSLEngine解包客户端请求并解析记录,但wrap方法产生0字节,握手状态为OK / NEED_UNWRAP。 换句话说,没有什么可以让我回到客户端,握手就会嘎然而止。
这是我被困的地方。
在调试器中,我可以看到SSLEngine,特别是ServerHandshaker,没有找到任何对等证书。 当我从客户端查看长度为0字节的证书记录时,这是相当明显的。 但为什么?
我只能假设HelloServer响应有问题,但我似乎无法指责它。 服务器似乎正在发送有效的证书,但客户端没有发回任何内容。 我的密钥库有问题吗? 还是信托商店? 或者它与我实例化SSLEngine的方式有关? 我很难过。
结合其他要点:
- 上面的代码snippit中引用的密钥库和信任库是使用以下教程创建的: http : //www.techbrainwave.com/? p = 953
- 我使用Firefox 10和IE 9作为客户端来测试服务器。 两个Web客户端的结果相同。
- 我正在使用与它捆绑在一起的Sun / Oracle JDK 6和Java安全套接字扩展(JSSE)。
我期待您的任何指导,但请不要告诉我,我很疯狂或使用Netty或Grizzly或其他现有解决方案。 它现在不是一个选项。 我只是想了解我做错了什么。
提前致谢!
你有NEED_UNWRAP,所以要解开。 反过来可能会给你BUFFER_UNDERFLOW,这意味着你必须进行读取并重试解包。
类似地,当你得到NEED_WRAP时,做一个换行:反过来可能会给你BUFFER_OVERFLOW,这意味着你必须进行写操作并重试换行。
那个换行或解包可能会告诉你做另一个操作:换行或打开。
只是做它告诉你的事情。