java SSLContext创建方式

更新时间：2024年01月23日 10:09:29 作者：shuxiaohua

这篇文章主要介绍了java SSLContext创建方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教

概述

HTTPS相对于HTTP多了SSL（security sock layer），应用层将数据丢给TCP时，需要经过SSL层的加密处理；TCP层的数据丢给应用层时，需要经过SSL层的解密处理。

因此网络中传输的都是加密后的数据，提高的通信的安全性。

HTTPS除了拥有传输加密的功能，还提供身份认证，防止对端伪造身份。这个是通过HTTPS证书实现。

注下图中对HTTPS握手过程进行简化，握手过程的关键步骤就是证书校验及对称加密秘钥的协商，另外客户端证书的校验是可选的。

问题

标准证书都是第三方机构颁发的，需要付费找第三方机构申请。有些出于节省成本或者省事的目的，一般会使用工具生成自签名的证书。

浏览器访问这种自签名证书的网址时就会弹出不安全的提示，如果是java代码访问这种网址时就会抛出异常。

解决这种问题有2个途径，一种是忽略证书认证，另一种就是将自签名的证书添加到受信证书库中。

SSLContext关键参数说明

SSLContext都是通过SSLContext.getInstance(String protocol)方法获取，获取后需要调用init方法初始化。

init方法签名如下：

public final void init(KeyManager[] km, TrustManager[] tm,SecureRandom random)

KeyManager

用于HTTPS双向认证时，客户端向服务端发送的认证信息(证书);与不同的服务端交互时，客户端可能用不同的身份(证书)，所以需要KeyManager进行管理。
如果只是单向认证，KeyManager[]可以为空。

TrustManager

用于客户端检测服务端发送过来的证书。

KeyStore:只是单纯的存储证书、秘钥数据，不包含任何逻辑。

TrustManager，KeyManager可以使用KeyStore得到证书列表进行相应的业务处理。

忽略证书认证

有些语言比如Python是可以修改全局配置去忽略证书检查，但是Java好像没有提供这种功能，所以需要覆写证书认证的类X509TrustManager 。

忽略证书认证后，双方通信的时候仍然是加密的，只是无法对服务端的身份进行认证，有服务端伪造的风险。如果都是在内网，可以采用这种简洁的手法。

public SSLContext buildSSLContext() throws Exception {
    X509TrustManager x509TrustManager = new X509TrustManager() {
        @Override
        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }
        @Override
        public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }
        @Override
        public X509Certificate[] getAcceptedIssuers() {
            return new X509Certificate[0];
        }
    };
    SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
    sslContext.init((KeyManager[]) null, new X509TrustManager[] {x509TrustManager}, (SecureRandom) null);
    return sslContext;
}

将自签名证书放到受信证书库

将证书直接导入到JDK的证书库

待续

通过编码的方式将证书放到受信证书列表中

@Override
public SSLContext buildSSLContext() throws Exception {
    KeyStore keyStore = buildKeyStore();
    TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    tmf.init(keyStore);
    SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
    sslContext.init((KeyManager[]) null, tmf.getTrustManagers(), (SecureRandom) null);
    return sslContext;
}

private KeyStore buildKeyStore() throws Exception {
    // 获取自签名的证书
    List<X509Certificate> certs = loadHttpsCerts();
    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
    keyStore.load(null, null);
    TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
            TrustManagerFactory.getDefaultAlgorithm());
    trustManagerFactory.init((KeyStore) null);
    // 获得jdk证书库中的证书
    Arrays.stream(trustManagerFactory.getTrustManagers())
            .filter(manager -> manager instanceof X509TrustManager)
            .findFirst()
            .ifPresent(manager -> {
                List<X509Certificate> jdkCerts = Arrays.asList(((X509TrustManager) manager).getAcceptedIssuers());
                certs.addAll(jdkCerts);
            });
    certs.stream().forEach(cert -> {
            keyStore.setCertificateEntry(cert.getSubjectDN().getName(), cert);
    });
    return keyStore;
}

private List<X509Certificate> loadHttpsCerts() throws IOException, CertificateException {
    List<X509Certificate> certs = new ArrayList<>(32);
    PathMatchingResourcePatternResolver resolver = new PathMatchingResourcePatternResolver();
    Resource[] resources = resolver.getResources(HTTPS_CERTS_PATH);
    for (Resource resource : resources) {
        InputStream inStream = resource.getInputStream();
        CertificateFactory factory = CertificateFactory.getInstance("X.509");
        X509Certificate cert = (X509Certificate) factory.generateCertificate(inStream);
        certs.add(cert);
    }
    return certs; 
}

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

Spring中利用配置文件和@value注入属性值代码详解
这篇文章主要介绍了Spring中利用配置文件和@value注入属性值代码详解，代码中注释比较详细，具有一定参考价值，需要的朋友可以了解下。
2017-11-11
Java 初识CRM之项目思路解析
本篇文章意在帮助大家了解CRM的一些基本概念，介绍相关业务，后文也将会将基于笔者所在公司的业务详细阐述CRM各模块，感兴趣的朋友快来看看吧
2021-11-11
Java对象以Hash结构存入Redis详解
这篇文章主要介绍了Java对象以Hash结构存入Redis详解,和Java中的对象非常相似,却不能按照Java对象的结构直接存储进Redis的hash中,因为Java对象中的field是可以嵌套的,而Redis的Hash结构不支持嵌套结构,需要的朋友可以参考下
2023-08-08
Spring集成MyBatis框架
本文主要介绍了Spring集成MyBatis的配置和使用，项目基于Maven构建，连接Mysql数据库。下面跟着小编一起来看下吧
2017-02-02
JAVA多线程处理for循环数据详细讲解
这篇文章主要给大家介绍了关于JAVA多线程处理for循环数据的相关资料,我们在代码中经常需要使用for循环这个操作来达到目的,而当for循环的次数过多时我们会发现执行效率会变的很低,整体耗时非常多,需要的朋友可以参考下
2023-07-07
IntelliJ IDEA 安装目录的核心文件的功能及用法
这篇文章我们主要讲解一下 IntelliJ IDEA 安装目录中的一些核心文件的功能及用法，非常不错，具有一定的参考借鉴价值，需要的朋友参考下吧
2018-10-10
30条Java代码编写经验分享
你知道写好Java代码的30条经验是什么吗？这篇文章主要为大家分享了30条Java代码编写经验技巧，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-02-02
Java获取字符串编码格式实现思路
文件编码的格式决定了文件可存储的字符类型，所以得到文件的类型至关重要，下文笔者讲述获取一个文本文件的格式信息的方法分享及java字符串编码格式实现，感兴趣的朋友一起看看吧
2022-09-09
Java中解析JSON和生成JSON字符串的全面指南
在现代 Java 开发中,JSON（JavaScript Object Notation）作为一种轻量级的数据交换格式,广泛应用于前后端交互、配置文件读取以及各类数据存储场景,本文将深入剖析常用库及对应实现方式,助力您轻松驾驭 JSON 数据处理,需要的朋友可以参考下
2025-03-03
Android开发在轮播图片上加入点击事件的方法
这篇文章主要介绍了Android开发在轮播图片上加入点击事件的方法,非常不错，具有参考借鉴价值，需要的朋友可以参考下
2016-11-11