SSL Certificate xác nhận trong Java

Question

Nói rằng tôi có hai ứng dụng Java mà tôi đã viết: Ping.jar và Pong.jar và họ nhận được triển khai và chạy trên hai máy chủ riêng biệt (Ping.jar triển khai để srv-01.myorg.com và Pong.jar triển khai để srv-02.myorg.com), và hai ứng dụng này cần phải giao tiếp với nhau (2 chiều) qua SSL. Chúng ta cũng giả định rằng mỗi ứng dụng đều có Chứng chỉ SSL riêng.

• Làm cách nào để lập trình viên Java, mã số Ping và Pong để xác minh chứng chỉ SSL của nhau? Mỗi CA có cung cấp một số loại RESTful API mà tôi có thể truy cập, ví dụ: HttpClient? Java có API xác minh chứng chỉ của riêng mình không? Có các JAR hoặc dịch vụ bên thứ ba nguồn mở mà tôi có thể sử dụng không?

Tôi đã rất ngạc nhiên khi bật lên một chút khi tôi tìm kiếm trực tuyến này.

Answer 1

Nếu bạn đang kết nối bằng cách sử dụng các lớp Java SE SSL/TLS (ví dụ: SSLSocket hoặc SSLEngine), bạn đang sử dụng Java Secure Socket Extension (JSSE).

Nó sẽ xác minh chứng chỉ của bên từ xa theo số SSLContext đã được sử dụng để tạo SSLSocket hoặc SSLEngine này.

SSLContext này sẽ được khởi tạo với TrustManager quyết định cách thiết lập sự tin cậy. Trừ khi bạn cần cấu hình cụ thể, bạn thường có thể dựa vào the default values: điều này sẽ dựa vào thuật toán PKIX (RFC 3280) để xác minh chứng chỉ dựa vào bộ neo tin cậy (theo mặc định là cacerts). cacerts, được giao với JRE của Oracle là kho khóa JKS mà bạn có thể thêm chứng chỉ bổ sung. Bạn có thể thêm chứng chỉ một cách rõ ràng bằng cách sử dụng keytool chẳng hạn.

Bạn cũng có thể tạo X509TrustManager dựa trên kho khóa tùy chỉnh theo chương trình (như được mô tả trong this answer) và sử dụng nó trong một SSLContext cụ thể không ảnh hưởng đến mặc định.

Ngoài ra, nếu bạn đang sử dụng giao thức của riêng mình, bạn sẽ cần xác minh rằng chứng chỉ bạn đã nhận được khớp với tên máy chủ bạn đang tìm kiếm (xem RFC 6125). Thông thường, bạn có thể tìm kiếm tên thay thế chủ đề trong số X509Certificate mà bạn nhận được (lấy chứng chỉ ngang hàng đầu tiên trong chuỗi từ SSLSession), thất bại, tìm RDN CN trong Tên phân biệt chủ đề.

Answer 2

Bạn không phải kiểm tra thủ công chứng chỉ của nhau.

Bạn chỉ cần nhập từng chứng chỉ máy chủ vào các cacerts của nhau, theo cách này cả hai máy chủ ứng dụng sẽ tự động tin tưởng lẫn nhau.

Answer 3

Bạn có thể nhận được giấy chứng nhận ngang hàng hoặc bằng cách gắn một HandshakeCompletedListener đến SSLSocket và nhận được giấy chứng nhận từ sự kiện này, nếu không bằng cách nhận các SSLSession từ SSLSocket và nhận được giấy chứng nhận đẳng trong phiên làm việc.

SSL cung cấp quyền riêng tư, tính toàn vẹn và xác thực danh tính ngang hàng. Cho dù danh tính ngang hàng đó là một trong những ứng dụng mong đợi, và những gì danh tính được phép làm trong ứng dụng, cần được kiểm tra bởi các ứng dụng nếu cần thiết. Đây là bước 'ủy quyền' và SSL không thể thực hiện điều đó cho bạn.