Có ai có bất kỳ mẹo thân thiện nào về cách thực hiện xác thực ứng dụng khách qua chứng chỉ x509 bằng cách sử dụng HTTPClient 4.0.1 không?Chứng thực lẫn nhau với chứng chỉ x509 bằng cách sử dụng HttpClient 4.0.1
Cảm ơn bạn đã dành thời gian.
Dưới đây là một số mã để giúp bạn tiếp tục. KeyStore là đối tượng chứa chứng chỉ ứng dụng khách. Nếu máy chủ đang sử dụng chứng chỉ tự ký hoặc chứng chỉ không được ký bởi một CA như được JVM công nhận trong tệp cacerts được bao gồm thì bạn sẽ cần sử dụng TrustStore. Nếu không sử dụng các tập tin cacerts mặc định, vượt qua trong null để SSLSockeFactory cho lập luận truststore ..
import org.apache.http.conn.scheme.Scheme;
import org.apache.http.conn.scheme.SchemeRegistry;
import org.apache.http.conn.ssl.SSLSocketFactory;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.http.impl.conn.tsccm.ThreadSafeClientConnManager;
import org.apache.http.params.BasicHttpParams;
import org.apache.http.params.HttpParams;
...
final HttpParams httpParams = new BasicHttpParams();
// load the keystore containing the client certificate - keystore type is probably jks or pkcs12
final KeyStore keystore = KeyStore.getInstance("pkcs12");
InputStream keystoreInput = null;
// TODO get the keystore as an InputStream from somewhere
keystore.load(keystoreInput, "keystorepassword".toCharArray());
// load the trustore, leave it null to rely on cacerts distributed with the JVM - truststore type is probably jks or pkcs12
KeyStore truststore = KeyStore.getInstance("pkcs12");
InputStream truststoreInput = null;
// TODO get the trustore as an InputStream from somewhere
truststore.load(truststoreInput, "truststorepassword".toCharArray());
final SchemeRegistry schemeRegistry = new SchemeRegistry();
schemeRegistry.register(new Scheme("https", new SSLSocketFactory(keystore, keystorePassword, truststore), 443));
final DefaultHttpClient httpClient = new DefaultHttpClient(new ThreadSafeClientConnManager(httpParams, schemeRegistry), httpParams);
Một giải pháp (sao chép từ một ví dụ khác). Tôi đã sử dụng cùng một kho khóa cho cả 'tin cậy' (trustStore) và để xác thực bản thân mình (keyStore).
KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
FileInputStream instream = new FileInputStream(new File("miller.keystore"));
try {
trustStore.load(instream, "pw".toCharArray());
} finally {
instream.close();
}
SSLContext sslcontext = SSLContexts.custom()
.loadTrustMaterial(trustStore) /* this key store must contain the certs needed & trusted to verify the servers cert */
.loadKeyMaterial(trustStore, "pw".toCharArray()) /* this keystore must contain the key/cert of the client */
.build();
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslcontext,
SSLConnectionSocketFactory.BROWSER_COMPATIBLE_HOSTNAME_VERIFIER);
CloseableHttpClient httpclient = HttpClients.custom()
.setSSLSocketFactory(sslsf)
.build();
try {
HttpGet httpget = new HttpGet("https://localhost");
System.out.println("executing request" + httpget.getRequestLine());
CloseableHttpResponse response = httpclient.execute(httpget);
try {
HttpEntity entity = response.getEntity();
System.out.println("----------------------------------------");
System.out.println(response.getStatusLine());
if (entity != null) {
System.out.println("Response content length: " + entity.getContentLength());
}
EntityUtils.consume(entity);
} finally {
response.close();
}
} finally {
httpclient.close();
}
Tôi đã sử dụng mã sau đây từ mã mẫu trên trang web của HttpClient (ngữ cảnh SSL tùy chỉnh nếu tôi nhớ chính xác).
{
KeyStore keyStore = KeyStore.getInstance("PKCS12"); //client certificate holder
FileInputStream instream = new FileInputStream(new File(
"client-p12-keystore.p12"));
try {
trustStore.load(instream, "password".toCharArray());
} finally {
instream.close();
}
// Trust own CA and all self-signed certs
SSLContext sslcontext = SSLContexts.custom()
.loadKeyMaterial(keyStore, "password".toCharArray())
// .loadTrustMaterial(trustStore, new TrustSelfSignedStrategy()) //if you have a trust store
.build();
// Allow TLSv1 protocol only
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
sslcontext, new String[] { "TLSv1" }, null,
SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
CloseableHttpClient httpclient = HttpClients
.custom()
.setHostnameVerifier(
SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER) //todo
.setSSLSocketFactory(sslsf).build();
try {
HttpGet httpget = new HttpGet("https://localhost:8443/secure/index");
System.out.println("executing request" + httpget.getRequestLine());
CloseableHttpResponse response = httpclient.execute(httpget);
try {
HttpEntity entity = response.getEntity();
System.out.println("----------------------------------------");
System.out.println(response.getStatusLine());
if (entity != null) {
System.out.println("Response content length: "
+ entity.getContentLength());
}
EntityUtils.consume(entity);
} finally {
response.close();
}
} finally {
httpclient.close();
}
}
Liên kết tới nguồn sẽ hữu ích ... –
@EvilRaat http://hc.apache.org/httpcomponents-client-4.3.x/httpclient/examples/org/apache/http/examples/client/ClientCustomSSL.java từ http: // hc .apache.org/httpcomponents-client-4.3.x/examples.html – EpicPandaForce
Cảm ơn bạn. Tôi sẽ kiểm tra điều đó sớm thôi. – hooknc
Giải pháp này hoạt động hoàn hảo. Cám ơn sự giúp đỡ của bạn. FYI, do các vấn đề về đàm phán lại bắt tay SSL tôi phải đặt thuộc tính máy ảo sau: -Dsun.security.ssl.allowUnsafeRenegotiation = true Tôi/đang làm việc với java 1.6.0_20 và tomcat 6.0.29. – hooknc
Nhận xét trên không còn cần thiết khi làm việc với jdk 1.6.0_24 trở lên. – hooknc