我有这个代码来连接服务器与客户端使用SSL,现在我要添加客户端身份验证:
(我有一个服务器密钥库(JCEKS类型)和客户端密钥库(JKS类型),服务器使用一个信任库(cacerts),其中我导入了两个证书,因为我也想使用这个信任库进行客户端身份验证)
客户端代码:
System.setProperty("javax.net.ssl.trustStore",cerServer);
System.setProperty("javax.net.ssl.trustStoreType","JCEKS");
System.setProperty("javax.net.ssl.trustStorePassword",pwdCacerts);
SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
SSLSocket sslsocket = (SSLSocket) sslsocketfactory.createSocket("localhost",port);
服务器代码:
KeyStore ks = LoadKeyStore(new File(serverKeyStore),pwdKeyStore,"JCEKS"); KeyManagerFactory kmf; kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); kmf.init(ks,pwdKeyStore.tocharArray()); SSLContext sc = SSLContext.getInstance("SSL"); sc.init(kmf.getKeyManagers(),null,null); SSLServerSocketFactory ssf = sc.getServerSocketFactory(); sslserversocket = (SSLServerSocket) ssf.createServerSocket(port);
提前感谢任何帮助.
System.setProperty("javax.net.ssl.trustStore",cacerts);
System.setProperty("javax.net.ssl.trustStoreType","JKS");
System.setProperty("javax.net.ssl.trustStorePassword",pwdCacerts);
解决方法
如果您希望系统使用客户端证书身份验证,则需要
>服务器请求(或要求)客户端证书.这可以通过在服务器套接字(或setNeedClientAuth)上分别设置setWantClientAuth(true)来完成.您还需要服务器来通告其接受的CA,这通常通过在包含客户端证书链的CA的服务器上使用信任库来完成(这似乎是您通过设置完成的服务器上的javax.net.ssl.trustStore *).
>要配置客户端的密钥库,其中包含客户端证书(如果有中间CA,可能链接)及其私有密钥.这可以通过设置javax.net.ssl.keyStore *(可能会影响其他连接)或使用KeyManagerFactory来完成,方式与在服务器端完成相同.
如果您使用setWantClientAuth(true),您可能仍然无法获取错误,因为服务器将接受没有客户端证书的连接(服务器将检查SSLSession的对等证书,以查看是否有证书) ).当客户端不提供证书时,setNeedClientAuth(true)将中断连接.
