个人中心
gpt4 book ai didi

ssl - 在 Play Framework 1.2.7 中使用的 Netty 的 SSL 处理程序中处理多个证书

转载 作者:太空宇宙 更新时间:2023-11-03 12:56:15 30 4
gpt4 key购买 nike

我有一个 Java Key Store,我在其中存储每个客户子域的证书。我计划按照建议使用服务器别名来区分 key 存储中的多个客户 here . Play framework 1.2.7 使用Netty 的SslHandler 在服务器端支持SSL。我尝试实现使用此 solution 的自定义 SslHttpServerContextFactory .

import play.Play;

import javax.net.ssl.*;
import java.io.FileInputStream;
import java.net.InetAddress;
import java.net.Socket;
import java.security.KeyStore;
import java.security.Principal;
import java.security.PrivateKey;
import java.security.Security;
import java.security.cert.X509Certificate;
import java.util.Properties;

public class CustomSslHttpServerContextFactory {

  private static final String PROTOCOL = "SSL";
  private static final SSLContext SERVER_CONTEXT;

  static {

    String algorithm = Security.getProperty("ssl.KeyManagerFactory.algorithm");
    if (algorithm == null) {
      algorithm = "SunX509";
    }

    SSLContext serverContext = null;
    KeyStore ks = null;
    try {
      final Properties p = Play.configuration;

      // Try to load it from the keystore
      ks = KeyStore.getInstance(p.getProperty("keystore.algorithm", "JKS"));
      // Load the file from the conf
      char[] certificatePassword = p.getProperty("keystore.password", "secret").toCharArray();
      ks.load(new FileInputStream(Play.getFile(p.getProperty("keystore.file", "conf/certificate.jks"))),
          certificatePassword);

      // Set up key manager factory to use our key store
      KeyManagerFactory kmf = KeyManagerFactory.getInstance(algorithm);
      kmf.init(ks, certificatePassword);
      TrustManagerFactory tmf = TrustManagerFactory.getInstance(algorithm);
      tmf.init(ks);

      final X509KeyManager origKm = (X509KeyManager) kmf.getKeyManagers()[0];
      X509KeyManager km = new X509KeyManagerWrapper(origKm);

      // Initialize the SSLContext to work with our key managers.
      serverContext = SSLContext.getInstance(PROTOCOL);
      serverContext.init(new KeyManager[]{km}, tmf.getTrustManagers(), null);
    } catch (Exception e) {
      throw new Error("Failed to initialize the server-side SSLContext", e);
    }

    SERVER_CONTEXT = serverContext;
  }

  public static SSLContext getServerContext() {
    return SERVER_CONTEXT;
  }

  public static class X509KeyManagerWrapper implements X509KeyManager {
    final X509KeyManager origKm;

    public X509KeyManagerWrapper(X509KeyManager origKm) {
      this.origKm = origKm;
    }

    public String chooseServerAlias(String keyType,
                                    Principal[] issuers, Socket socket) {
      InetAddress remoteAddress = socket.getInetAddress();
      //TODO: Implement alias selection based on remoteAddress

      return origKm.chooseServerAlias(keyType, issuers, socket);
    }

    @Override
    public String chooseClientAlias(String[] keyType,
                                    Principal[] issuers, Socket socket) {
      return origKm.chooseClientAlias(keyType, issuers, socket);
    }

    @Override
    public String[] getClientAliases(String s, Principal[] principals) {
      return origKm.getClientAliases(s, principals);
    }

    @Override
    public String[] getServerAliases(String s, Principal[] principals) {
      return origKm.getServerAliases(s, principals);
    }

    @Override
    public X509Certificate[] getCertificateChain(String s) {
      return origKm.getCertificateChain(s);
    }

    @Override
    public PrivateKey getPrivateKey(String s) {
      return origKm.getPrivateKey(s);
    }

  }

}

但是,由于某些原因,这种方法没有奏效。我在我的 SSL 调试日志中收到此消息。

X509KeyManager passed to SSLContext.init():  need an X509ExtendedKeyManager for SSLEngine use

这是 SSL trace ,它因“没有共同的密码套件”而失败。现在,我将包装器切换为:

public static class X509KeyManagerWrapper extends X509ExtendedKeyManager

通过此更改,我摆脱了警告,但我仍然看到与之前相同的错误“没有共同的密码套件”,这里是 SSL trace .我不确定为什么 key 管理器的委派不起作用。

在此上下文中可能有用的一些更多信息。

  • > Netty在 NIO 服务器中使用 javax.net.ssl.SSLEngine 支持 SSL。
  • 根据此错误中的建议 report ,X509ExtendedKeyManager 必须与 SSLEngine 一起使用是有意的。因此,包装器必须扩展 X509ExtendedKeyManager。

这阻碍了我进一步使用 X509KeyManagerWrapper 中的自定义别名选择逻辑。关于这里可能发生的事情的任何线索?还有其他方法可以在 Netty/Play 中实现吗?感谢任何建议。

最佳答案

SSLEngine 使用 chooseEngineServerAlias 方法来选择要使用的证书(在服务器模式下)——而不是 chooseServerAlias 方法。

默认chooseEngineServerAlias implementation实际上返回 null,这就是导致“没有共同的密码套件”消息的原因 - 您需要一个证书才能知道可以使用哪些密码套件(例如,ECDSA 只能用于身份验证,如果证书有ECC 公钥等)实际上有一些密码套件可以在没有证书的情况下使用,但是,这些通常被禁用,因为它们容易受到 MITM 攻击。

因此,您还应该覆盖 chooseEngineServerAlias,并实现您的逻辑以根据那里的 IP 地址选择证书。由于 Netty 仅使用 SSLEngine,因此 chooseServerAlias 所做的并不重要 - 它永远不会被调用。

Java 8 还支持服务器端 SNI,它允许您使用单个 IP 地址跨多个主机名使用多个证书。大多数网络浏览器都支持 SNI——值得注意的异常(exception)是在 Windows XP 和一些旧版本的 Android 上运行的 IE,但是,这些浏览器的使用率正在下降。我创建了一个小示例应用程序,演示如何在 GitHub 上的 Netty 中使用 SNI。 .它如何工作的核心部分是通过覆盖 chooseEngineServerAlias - 这应该给你足够的提示,即使你想使用每个 IP 地址一个证书技术而不是 SNI。

(我在 Netty 邮件列表上发布了一个类似的答案,你也在那里问了这个问题 - 但是,我的帖子似乎还没有被批准,所以我想我也应该在这里回答,这样你就可以得到一个早点回答。)

关于ssl - 在 Play Framework 1.2.7 中使用的 Netty 的 SSL 处理程序中处理多个证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20807408/

30 4 0
文章推荐: python - 将行和列总和应用于 Pandas 数据框中的单元格
文章推荐: c# - 使窗口的特定部分不可见
文章推荐: python - 三个操作数比较在 Python 中是如何工作的?
文章推荐: c# - 在 .NET C# 中集成 Python 脚本
太空宇宙
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com