java ssl 证书链的信任

原创

mob649e81643021 2023-12-08 11:01:12 ©著作权

©著作权归作者所有：来自51CTO博客作者mob649e81643021的原创作品，请联系作者获取转载授权，否则将追究法律责任

Java SSL 证书链的信任

1. 介绍

SSL（Secure Sockets Layer）是一种用于保护网络通信安全的协议。在Java中，我们可以使用Java Secure Socket Extension（JSSE）来实现SSL连接。在建立SSL连接时，服务器会向客户端发送一个数字证书，用于验证服务器的身份。而客户端在接收到证书后，会验证证书的合法性。

证书链是由一个或多个数字证书组成的，用于建立信任链。当服务器发送证书给客户端时，客户端会验证证书是否由可信的证书颁发机构（Certification Authority，CA）签发。如果证书被信任，客户端就会接受这个证书，并建立SSL连接。如果证书无效或不可信，则客户端会拒绝连接。

本文将介绍如何在Java中验证SSL证书链的信任，并提供相应的代码示例。

2. SSL 证书链的验证过程

当客户端收到服务器的证书后，会按照以下步骤验证证书的合法性：

检查证书的有效期：验证证书是否在有效期内。
检查证书的签名：验证证书是否由可信的证书颁发机构签发。
检查证书链的完整性：验证证书链中的每个证书是否正确。

在验证证书链时，Java会使用系统默认的证书存储区（TrustStore）中的证书来验证。

3. Java 中验证 SSL 证书链的信任

要在Java中验证SSL证书链的信任，需要使用javax.net.ssl.TrustManager接口实现自定义的信任管理器。下面是一个示例代码：

import javax.net.ssl.X509TrustManager;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

public class MyTrustManager implements X509TrustManager {
    @Override
    public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        // 客户端验证逻辑
    }

    @Override
    public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        // 服务器验证逻辑
    }

    @Override
    public X509Certificate[] getAcceptedIssuers() {
        return new X509Certificate[0];
    }
}

在checkClientTrusted和checkServerTrusted方法中，可以编写自定义的证书验证逻辑。例如，可以检查证书的有效期、签名等信息，并根据验证结果抛出异常或进行其他操作。

完成自定义的信任管理器后，需要将其与SSL连接相关联。下面是一个示例代码：

import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;

public class SSLUtils {
    public static SSLSocketFactory getSSLSocketFactory() throws Exception {
        // 创建自定义的信任管理器
        TrustManager[] trustManagers = {new MyTrustManager()};

        // 创建 SSL 上下文
        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, trustManagers, null);

        // 获取 SSLSocketFactory
        return sslContext.getSocketFactory();
    }
}

在getSSLSocketFactory方法中，我们使用自定义的信任管理器来初始化SSL上下文，并获取SSLSocketFactory。然后，可以将SSLSocketFactory用于建立SSL连接。

4. 使用自定义的信任管理器验证 SSL 证书链

为了使用自定义的信任管理器验证SSL证书链，需要在建立SSL连接之前设置系统属性。下面是一个示例代码：

import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.net.URL;
import javax.net.ssl.HttpsURLConnection;

public class Main {
    public static void main(String[] args) throws Exception {
        // 设置系统属性
        System.setProperty("javax.net.ssl.trustStore", "path/to/truststore");

        // 获取 SSLSocketFactory
        SSLSocketFactory sslSocketFactory = SSLUtils.getSSLSocketFactory();

        // 创建 URL 对象
        URL url = new URL("

        // 建立 HTTPS 连接
        HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
        connection.setSSLSocketFactory(sslSocketFactory);

        // 发送请求并读取响应
        BufferedReader reader = new BufferedReader(new InputStreamReader(connection.getInputStream()));
        String line;