java https ssl 证书链的信任

原创

mob64ca12e27f25 2023-12-02 09:05:43 ©著作权

©著作权归作者所有：来自51CTO博客作者mob64ca12e27f25的原创作品，请联系作者获取转载授权，否则将追究法律责任

Java中HTTPS SSL证书链的信任

在网络通信中，为了保证数据的安全性，经常使用HTTPS协议来进行加密传输。而HTTPS协议的加密基础就是SSL证书。SSL证书一般由证书颁发机构（CA）颁发，并包含了公钥和其他验证信息。当客户端和服务器建立HTTPS连接时，会进行SSL握手过程来验证服务器的身份，并且协商算法加密方式。

然而，有时候我们会遇到一些特殊的情况，比如自签名证书、私有证书等，这些证书在一些特定的场景中是无法被默认信任的。本文将介绍如何在Java中解决这些问题，实现对不被信任证书链的信任。

证书链的信任问题

在SSL握手过程中，客户端会验证服务器的证书。验证的过程如下：

客户端从服务器端获取到证书。
客户端根据证书链中的证书颁发机构信息来验证证书的有效性。
客户端验证证书是否过期、是否被吊销、是否与服务器域名匹配等。

在大多数情况下，证书链中的证书都是由权威的证书颁发机构所签发的，因此可以直接信任。但是，当服务器的证书是自签名证书、私有证书或由非权威机构签发的证书时，客户端会认为这些证书是不被信任的，从而导致连接失败或警告。

解决方案

Java提供了一种灵活的方式来解决证书信任问题，即通过自定义信任管理器来信任这些不被信任的证书。下面是一个示例代码来说明如何实现这个功能：

import java.io.InputStream;
import java.security.KeyStore;
import java.security.cert.Certificate;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;
import javax.net.ssl.X509TrustManager;

public class CustomTrustManagerExample {
    public static void main(String[] args) throws Exception {
        char[] password = "password".toCharArray();
        InputStream certificateStream = CustomTrustManagerExample.class.getResourceAsStream("/custom.crt");
        
        // Load the custom certificate
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        Certificate certificate = certificateFactory.generateCertificate(certificateStream);

        // Create a KeyStore with the custom certificate
        KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        keyStore.load(null, password);
        keyStore.setCertificateEntry("custom", certificate);

        // Create a TrustManagerFactory with the KeyStore
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init(keyStore);

        // Create a customized TrustManager
        TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
        X509TrustManager customTrustManager = new X509TrustManager() {
            @Override
            public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
                // Implement the client trusted check if needed
            }

            @Override
            public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
                // Implement the server trusted check if needed
            }

            @Override
            public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                // Return the accepted issuers if needed
                return new java.security.cert.X509Certificate[0];
            }
        };

        // Create a SSLContext with the customized TrustManager
        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, new TrustManager[]{customTrustManager}, null);

        // Use the customized SSLContext for HTTPS connections
        // ...
    }
}

在上面的示例中，我们首先加载了一个自定义证书custom.crt。然后，我们使用这个证书创建了一个KeyStore，并将其设置为信任管理器。接下来，我们创建了一个自定义的TrustManager，并实现了checkClientTrusted、checkServerTrusted和getAcceptedIssuers方法。在这些方法中，我们可以实现自定义的证书验证逻辑。最后，我们使用自定义的TrustManager创建了一个SSLContext，然后可以将其用于HTTPS连接。