个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
26
4
我需要从使用客户端证书进行身份验证的服务器请求 URL,但找不到为我的应用程序执行此操作的方法。
我的问题是,我正在使用的 Java 客户端具有本地可用的证书文件,但由于将在其上运行的 PC 的限制,无法将证书安装在 keystore 中。
简而言之,我只想能够明确指定用于我需要检索的 URL 的证书。
有什么建议吗?
最佳答案
不清楚您所说的限制是什么。更具体地说,我不确定您认为本地证书文件和 keystore 之间的区别是什么。大多数 keystore 都是基于文件的,因此您可以通过这种方式直接加载文件,而无需安装过程。这些限制是否与 JVM 本身使用的安全策略相关(这可能会阻止您实例化 KeyStore s)?
首先,客户端需要的不仅仅是证书,还有它的私钥。通常,人们在此上下文中使用“证书”一词来表示两者,但您确实需要确保您的文件不包含没有私钥的证书。通常,您会在 PKCS#12 文件 (.p12/.pfx) 中找到私钥 + 证书的组合,很多工具都以这种格式导入/导出;它也是 Sun JVM 原生支持的 keystore 格式(类型 PKCS12 )。
要使其正常工作,您需要配置与适当的 keystore 建立连接的内容。 SSL/TLS 客户端证书身份验证始终由服务器启动:如果客户端有一个证书(并且想要使用它),则客户端会使用证书进行响应。要为特定的 URL 配置它,您需要找出是什么建立了连接(可能是 HttpsURLConnection )并将其设置在那里(除非它是在默认上下文中设置的——即使它是在默认上下文中设置的,它也会仅用于请求它的服务器)。
要在 JVM 上全局设置 keystore (这可能是您的限制阻止您做的),您可以设置 javax.net.ssl.keyStore javax.net.ssl.keyStorePassword (和相关的)系统属性。 (因为密码可能是可见的,所以最好不要在命令行上这样做)。
这些系统属性用于配置默认 SSLContext (通常透明地由库或类使用,例如 HttpsURLConnection 来构建 SSLSocketFactory,然后是 SSLSocket,使用这些属性进行初始化)。
你可以 build SSLContext从您的文件中专门用于该连接。 SSLContext实际上是 SSLSocketFactory 的工厂或 SSLEngine , 你可以设置 SSLSocketFactory在给定的 HttpsURLConnection .
以下将构建一个 SSLContext使用“/path/to/file.p12”作为您的 keystore (即带有您的私钥和您要发送的证书的 keystore )并保留信任库的默认设置(您需要捕获异常对于输入流也是如此)。
KeyStore ks = KeyStore.getInstance("PKCS12");
FileInputStream fis = new FileInputStream("/path/to/file.p12");
ks.load(fis, "password".toCharArray());
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
kmf.init(ks, "password".toCharArray());
SSLContext sc = SSLContext.getInstance("TLS");
sc.init(kmf.getKeyManagers(), null, null);
从那里你可以像这样配置连接(如果这是你正在使用的):
HttpURLConnection connection = (HttpURLConnection) url.openConnection();
if (connection instanceof HttpsURLConnection) {
((HttpsURLConnection)connection)
.setSSLSocketFactory(sc.getSocketFactory());
}
有些图书馆会让你传递 SSLContext直接(Apache HTTP Client 4 支持,这可以通过 Apache HTTP Client 3 using this 完成。)
请注意,您不需要在加载 keystore 时将密码作为直接参数提供,您也可以使用回调(从 GUI 的角度来看可能更好)。
也许 this library可以帮助(但不是必需的):你可以使用 KeystoreLoader 为它的助手做这件事。还有SSLContextFactories在此库中(但您可能不需要任何包装器,因为它们往往用于自定义信任管理或 key 选择)。
这通常是使用客户端证书的配置方式,但如果不澄清您的限制到底是什么(以及您正在使用哪些库),就很难提供更多详细信息。
关于java - 如何请求需要客户端证书进行身份验证的 URL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3734613/
26
4
0
我正在尝试用 C 语言编写一个使用 gstreamer 的 GTK+ 应用程序。 GTK+ 需要 gtk_main() 来执行。 gstreamer 需要 g_main_loop_run() 来执行。
我已经使用 apt-get 安装了 opencv。我得到了以下版本的opencv2,它工作正常: rover@rover_pi:/usr/lib/arm-linux-gnueabihf $ pytho
我有一个看起来像这样的 View 层次结构(基于其他答案和 Apple 的使用 UIScrollView 的高级 AutoLayout 指南): ScrollView 所需的2 个步骤是: 为 Scr
我尝试安装 udev。 udev 在 ./configure 期间给我一个错误 --exists: command not found configure: error: pkg-config and
我正在使用 SQLite 3。我有一个表,forums,有 150 行,还有一个表,posts,有大约 440 万行。每个帖子都属于一个论坛。 我想从每个论坛中选择最新帖子的时间戳。如果我使用 SEL
使用 go 和以下包: github.com/julienschmidt/httprouter github.com/shwoodard/jsonapi gopkg.in/mgo.v2/bson
The database仅包含 2 个表: 钱包(100 万行) 事务(1500 万行) CockroachDB 19.2.6 在 3 台 Ubuntu 机器上运行 每个 2vCPU 每个 8GB R
我很难理解为什么在下面的代码中直接调用 std::swap() 会导致编译错误,而使用 std::iter_swap 编译却没有任何错误. 来自 iter_swap() versus swap() -
我有一个非常简单的 SELECT *用 WHERE NOT EXISTS 查询条款。 SELECT * FROM "BMAN_TP3"."TT_SPLDR_55E63A28_59358" SELECT
我试图按部分组织我的 .css 文件,我需要从任何文件访问文件组中的任何类。在 Less 中,我可以毫无问题地创建一个包含所有文件导入的主文件,并且每个文件都导入主文件,但在 Sass 中,我收到一个
Microsoft.AspNet.SignalR.Redis 和 StackExchange.Redis.Extensions.Core 在同一个项目中使用。前者需要StackExchange.Red
这个问题在这里已经有了答案: Updating from Rails 4.0 to 4.1 gives sass-rails railties version conflicts (4 个答案) 关
我们有一些使用 Azure DevOps 发布管道部署到的现场服务器。我们已经使用这些发布管道几个月了,没有出现任何问题。今天,我们在下载该项目的工件时开始出现身份验证错误。 部署组中的节点显示在线,
Tip: instead of creating indexes here, run queries in your code – if you're missing any indexes, you
你能解释一下 Elm 下一个声明中的意思吗? (=>) = (,) 我在 Elm architecture tutorial 的例子中找到了它 最佳答案 这是中缀符号。实际上,这定义了一个函数 (=>
我需要一个 .NET 程序集查看器,它可以显示低级详细信息,例如元数据表内容等。 最佳答案 ildasm 是 IL 反汇编程序,具有低级托管元数据 token 信息。安装 Visual Studio
我有两个列表要在 Excel 中进行比较。这是一个很长的列表,我需要一个 excel 函数或 vba 代码来执行此操作。我已经没有想法了,因此转向你: **Old List** A
Closed. This question does not meet Stack Overflow guidelines。它当前不接受答案。 想要改善这个问题吗?更新问题,以便将其作为on-topi
我正在学习 xml 和 xml 处理。我无法很好地理解命名空间的存在。 我了解到命名空间帮助我们在 xml 中分离相同命名的元素。我们不能通过具有相同名称的属性来区分元素吗?为什么命名空间很重要或需要
我搜索了 Azure 文档、各种社区论坛和 google,但没有找到关于需要在公司防火墙上打开哪些端口以允许 Azure 所有组件(blob、sql、compute、bus、publish)的简洁声明
我是一名优秀的程序员,十分优秀!