如何在java SSL客户端应用程序中支持多个TrustStore
|
在我们的
java应用程序中,我们需要使用https协议与SSL上的服务器列表进行通信.要通信的服务器列表将在运行时更改.最初我们没有任何服务器的证书.在运行时,我们将获得新服务器的证书并将公钥证书添加到信任库中;与服务器的任何新https连接都应使用更新的信任库.
我们认为我们应该使用两个信任库,一个cacerts(默认一个jre附带)和其他包含我们在列表中动态添加/删除的服务器的证书.这将确保我们不修改java的默认TrustStore(cacerts). 请建议如何实现这一目标. 谢谢, 解决方法
如果要动态导入证书,可能需要使用自定义x509TrustManager.这在配置
SSLContext时完成,SSLContext本身用于创建SSLSocketFactory或SSLEngine.
jSSLutils是一个库,可让您包装现有的信任管理器并自定义某些设置.你不需要它,但它可能有所帮助. 这将遵循这些方针: PKIXSSLContextFactory sslContextFactory = new PKIXSSLContextFactory();
sslContextFactory.setTrustManagerWrapper(new X509TrustManagerWrapper() {
@Override
public X509TrustManager wrapTrustManager(final X509TrustManager origManager) {
return new X509TrustManager() {
@Override
public X509Certificate[] getAcceptedIssuers() {
return origManager.getAcceptedIssuers();
}
@Override
public void checkServerTrusted(X509Certificate[] chain,String authType)
throws CertificateException {
try {
// This will call the default trust manager
// which will throw an exception if it doesn't know the certificate
origManager.checkServerTrusted(chain,authType);
} catch (CertificateException e) {
// If it throws an exception,check what this exception is
// the server certificate is in chain[0],you could
// implement a callback to the user to accept/refuse
}
}
@Override
public void checkClientTrusted(X509Certificate[] chain,String authType)
throws CertificateException {
origManager.checkClientTrusted(chain,authType);
}
};
}
});
SSLContext sslContext = sslContextFactory.buildSSLContext();
((PKIX)SSLContextFactory和X509TrustManagerWrapper来自jSSLutils,但其余部分来自J2SE / J2EE.) 您可能想要捕获一些 然后,您可以使用SSLContext.setSSLContext(…)(来自Java 6)将此SSLContext用作默认值,但这不一定是个好主意.如果可以,请将SSLContext传递给进行SSL / TLS连接的库.如何做到这一点各不相同,但Apache HTTP Client 4.x有多个选项来配置其SSL设置,其中一个是通过传递KeyStores,另一个是通过传递SSLContext. 通过检查X509TrustManager中的当前线程,您还可以使用每个线程而不是每个要连接的对象(依赖于库):这可能会使同步和线程管理/“感知”方面的事情变得更复杂一些信托经理. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |