在连接之前如何告诉 SSLSocket 所需密钥输入的别名?

问题描述 投票:0回答:1

我的 Java 密钥库中有两个证书/密钥对。这些键条目的别名是“foo”和“bar”。

我的 TLS 客户端(Java 程序)使用密钥库。 TLS 客户端身份验证在连接打开期间完成。 当 TLS 服务器向客户端请求证书时,客户端程序应使用“foo”密钥输入。 现在,客户端在连接握手期间向服务器发送了错误的证书(“bar”)。

在连接之前如何告诉 

SSLSocket
所需按键输入的别名?

目前代码如下:

final SSLSocket ss = (SSLSocket)SSLSocketFactory.getDefault().createSocket(); 
ss.setEnabledProtocols( new String[] {"TLSv1"});
ss.connect( targetAddress );
java ssl keystore authentication
1个回答
31
投票

默认

KeyManager
将发送它找到的第一个与服务器请求的条件相匹配的证书,也就是说,它将发送它找到的第一个证书,它可以在服务器发送的CA名称之一上建立一个证书链。请求期间的服务器。

如果您始终希望选择特定的别名,则需要实现自己的 

X509KeyManager
,可能会包装默认管理器。沿着这些思路的东西应该可以工作(没有测试这个实际代码,可能有一些拼写错误):

KeyStore keystore = ... // create and load your keystore.

KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(keystore, password.toCharArray());

final X509KeyManager origKm = (X509KeyManager)kmf.getKeyManagers()[0];

X509KeyManager km = new X509KeyManager() {
    public String chooseClientAlias(String[] keyType, Principal[] issuers, Socket socket) {
        return "foo";
    }

    public X509Certificate[] getCertificateChain(String alias) {
        return origKm.getCertificateChain(alias);
    }

    // Delegate the rest of the methods from origKm too...
}

然后将其用于您的

SSLContext

SSLContext sslContext = sslContext.getInstance("TLS");
sslContext.init(new KeyManager[] { km }, null, null);
SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.