java - 在 Java Web 服务器中使用 letsencrypt 证书

Question

我选择使用 acme4j创建一个 letsencrypt 证书。到目前为止，它似乎运行良好，我有一些 Java 代码可以创建注册、响应挑战并最终为我的域提供 x509 证书(以及“证书链”)。该代码很好地集成到我的 Java 应用程序中，不需要任何停机时间来更新证书。惊人的。

从这里我有点卡住了。我的应用程序只是一个 main 应用程序，它有一个我以编程方式实例化的嵌入式 undertow 网络服务器。为了创建一个 https 监听器，我需要创建一个 SSLContext 对象。我已经将从 letsencrypt 获得的 x509 证书保存到磁盘，以便可以重复使用:

    ...
    X509Certificate x509 = cert.download();

    Path pemFile = pathTo(domain + ".pem");

    try (Writer writer = Files.newBufferedWriter(pemFile); JcaPEMWriter jcaPEMWriter = new JcaPEMWriter(writer)) {
        jcaPEMWriter.writeObject(x509);
    }

然后在启动我的应用程序时重新加载该证书并将其传递到 undertow 网络服务器:

    CertificateFactory cf = CertificateFactory.getInstance("X.509");
    FileInputStream finStream = new FileInputStream(certFile.toFile());
    X509Certificate x509Certificate = (X509Certificate)cf.generateCertificate(finStream);

    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
    keyStore.load(null);
    keyStore.setCertificateEntry("someAlias", x509Certificate);

    TrustManagerFactory instance = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    instance.init(keyStore);

    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, instance.getTrustManagers(), null);
    SSLContext.setDefault(sslContext);

    Undertow.Builder builder = Undertow.builder();
    builder.addHttpsListener(httpsPort, ipAddress, sslContext);

应用程序启动，在我尝试点击 Chrome 仅显示 _ERR_CONNECTION_CLOSED_ 的 https 端点之前，看不到任何错误或警告。我打开 -Djavax.net.debug=all 来尝试看看发生了什么:

%% Initialized:  [Session-12, SSL_NULL_WITH_NULL_NULL]
XNIO-1 task-12, fatal error: 40: no cipher suites in common
javax.net.ssl.SSLHandshakeException: no cipher suites in common
%% Invalidated:  [Session-12, SSL_NULL_WITH_NULL_NULL]
XNIO-1 task-12, SEND TLSv1.1 ALERT:  fatal, description = handshake_failure
XNIO-1 task-12, WRITE: TLSv1.1 Alert, length = 2
XNIO-1 I/O-2, fatal: engine already closed.  Rethrowing javax.net.ssl.SSLHandshakeException: no cipher suites in common
XNIO-1 I/O-2, called closeInbound()
XNIO-1 I/O-2, fatal: engine already closed.  Rethrowing javax.net.ssl.SSLException: Inbound closed before receiving peer's close_notify: possible truncation attack?
2016-09-08 08:34:46,861 DEBUG [io] - UT005013: An IOException occurred
java.io.IOException: javax.net.ssl.SSLException: Inbound closed before receiving peer's close_notify: possible truncation attack?

我想在这里提出一个纯 Java 解决方案。在代码中可重复的东西，可以测试并 checkin 源代码管理。如果可能，我想避免必须进行任何 jvm 之外的机器级别设置。

经过大量的 hackery 和阅读，我似乎需要使用 keytool 和我颁发的证书的一些组合，以及我颁发的证书链，以及根证书和一些/没有/所有的中间体letsencrypt证书!认真的吗？

我尝试按照说明进行操作 here来自标题为“7.3.1.3。使用现有证书”的部分，但最终会出现完全相同的错误。

如有任何帮助，我们将不胜感激。

Answer 1

SSL/TLS 服务器(任何语言)需要一个私钥和证书(而且几乎总是一个证书链)，而不仅仅是一个证书。 Java SSL/TLS 服务器需要 KeyManager 而不是 TrustManager 中的私钥+证书链——任何建议您只为 SSL/TLS 服务器设置 TrustManager 的建议都是完全无能的。您链接到的第 7.3.1.3 节毫无意义，尽管下一个第 7.3.1.4 节声称存在一个我从未见过的错误，而且我几乎使用了每个版本的 OpenSSL，确实 描述了几乎 将OpenSSL key+cert 转换为Java 的正确方法，这与之前描述的以OpenSSL 格式创建 key 和证书的部分相匹配。但是您没有 OpenSSL 格式。

That acme4j page正确地说你应该“生成一对单独的 key ”——这对意味着私有(private)和公共(public)——前面的“如何使用”页面告诉你如何使用它们的 KeyPairUtils，然后生成一个 CSR并发送进去，得到证书和链条。它指定单个调用

X509Certificate[] chain = cert.downloadChain()

如果 LetsEncrypt 很聪明，这可能就是您所需要的；查看 chain[0].getSubjectX500Principal() 看看是不是你。如果不是，您可能需要同时执行 download() 和 downloadChain() 并将它们与您的证书放在一个数组中:

X509Certificate[] fixchain = new X509Certificate [chain.length+1];
fixchain[0] = mycert; System.arraycopy (chain,0, fixchain,1, chain.length);
chain = fixchain; // for simplicity

一旦你有了证书链和 key 对，做类似的事情

char[] password = /* some value, should be secure if used for file, 
    if used only in memory doesn't really matter */
KeyStore ks = KeyStore.getInstance("jks"/*or default if you don't care*/); 
ks.load (null); // above line and this same as you have now
ks.setKeyEntry ("alias", keypair.getPrivateKey(), password, chain);
// this line different -- KeyEntry not CertificateEntry

// if you want to save in a file for reuse
try( OutputStream os = new FileOutputStream ("blah") ){ ks.store (os, password); }
// if you want to save somewhere else, extrapolate 

// if/when you want to run server
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(ks, password); // same password as above (or when stored)
// MAYBE TrustManager if you want to require certs FROM CLIENTS
// in which case the certs you trust probably shouldn't be limited to LetsEncrypt
SSLContext ctx = SSLContext.getInstance("TLS";
ctx.init(kmf.getKeyManagers(), null /*or tmf.getTrustManagers()*/, null);
SSLContext.setDefault (ctx); // or otherwise use ctx

仅供引用，如果证书实际上是您需要存储和读取的内容，则无需将其转换为 PEM，除非您希望人们剪切​​和粘贴等。Java CertificateFactory 已处理 DER 和PEM 至少十年。