使用自签名证书和SSLEngine(JSSE)的SSL握手
我的任务是实现一个定制/独立的Java Web服务器,该服务器可以在同一端口上处理SSL和非SSL消息。
我已经实现了NIO服务器,并且对于非SSL请求,它可以很好地工作。我在SSL方面花了很长时间,可以真正使用一些指导。
到目前为止,这是我所做的。
为了区分SSL消息和非SSL消息,我检查了入站请求的第一个字节,看看它是否是SSL / TLS消息。例:
byte a = read(buf);
if (totalBytesRead==1 && (a>19 && a<25)){
parseTLS(buf);
}
在parseTLS()方法中,我像这样实例化SSLEngine:
java.security.KeyStore ks = java.security.KeyStore.getInstance("JKS");
java.security.KeyStore ts = java.security.KeyStore.getInstance("JKS");
ks.load(new java.io.FileInputStream(keyStoreFile), passphrase);
ts.load(new java.io.FileInputStream(trustStoreFile), passphrase);
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
kmf.init(ks, passphrase);
TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
tmf.init(ts);
SSLContext sslc = SSLContext.getInstance("TLS");
sslc.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
SSLEngine serverEngine = sslc.createSSLEngine();
serverEngine.setUseClientMode(false);
serverEngine.setEnableSessionCreation(true);
serverEngine.setWantClientAuth(true);
实例化SSLEngine之后,我将使用官方JSSE样本中提供的代码直接使用unwrap
/ wrap方法处理入站数据:
log("----");
serverResult = serverEngine.unwrap(inNetData, inAppData);
log("server unwrap: ", serverResult);
runDelegatedTasks(serverResult, serverEngine);
log("----");
serverResult = serverEngine.wrap(outAppData, outNetData);
log("server wrap: ", serverResult);
runDelegatedTasks(serverResult, serverEngine);
握手的第一部分似乎工作正常。客户端发送握手消息,服务器以一条包含4条记录的消息作为响应:
handshake (22)
- server_hello (2)
- certificate (11)
- server_key_exchange (12)
- certificate_request (13)
- server_hello_done (14)
接下来,客户端发送包含三个部分的消息:
handshake (22)
- certificate (11)
- client_key_exchange (16)
change_cipher_spec (20)
- client_hello (1)
handshake (22)
*** Encrypted Message ****
SSLEngine解包客户机请求并解析记录,但是wrap方法产生0个字节,握手状态为OK /
NEED_UNWRAP。换句话说,我什么也没有发回给客户,握手也停止了。
这就是我被困住的地方。
在调试器中,我可以看到SSLEngine(特别是ServerHandshaker)找不到任何对等证书。当我查看来自客户端的证书记录(长度为0字节)时,这非常明显。但为什么?
我只能假设HelloServer响应出了点问题,但我似乎无法全力以赴。服务器似乎正在发送有效的证书,但客户端没有发回任何东西。我的密钥库有问题吗?还是信任库?还是与我实例化SSLEngine的方式有关?我很沮丧
其他几点:
- 上面的代码片段中引用的密钥库和信任库是使用以下教程创建的:http : //www.techbrainwave.com/? p=953
- 我使用Firefox 10和IE 9作为客户端来测试服务器。两个Web客户端的结果相同。
- 我正在使用随附的Sun / Oracle JDK 6和Java安全套接字扩展(JSSE)。
我期待您的任何指导,但请不要告诉我我很疯,还是使用Netty或Grizzly或其他现有解决方案。目前,这不是一个选择。我只想了解我在做什么错。
提前致谢!
问题答案:
您得到了NEED_UNWRAP,因此请打开包装。反过来,这可能会给您BUFFER_UNDERFLOW,这意味着您必须阅读并重试展开。
同样,当您获得NEED_WRAP时,请进行换行:这反过来可能会给您BUFFER_OVERFLOW,这意味着您必须进行写操作然后重试换行。
换行或换行可能会反过来告诉您执行另一项操作:换行。
照它告诉你的去做。
-
问题内容: 这是“ 使用自签名证书和SSLEngine(JSSE)进行SSL握手 ”的后续问题。 我实现了一个NIO Web服务器,该服务器可以在同一端口上处理SSL和非SSL消息。为了区分SSL消息和非SSL消息,我检查了入站请求的第一个字节,看看它是否是SSL / TLS消息。例: 在parseTLS()方法中,我实例化了一个SSLEngine,启动了握手,包装/展开消息等。对于大多数现代We
-
问题内容: 我正在连接到以前成功使用过的Web服务,但是现在他们已经更改了主机名并向我发送了两个.pem文件。一个是CA,另一个是我的新客户证书。 (我将Java 1.5,Spring + Spring Web Services与Apache httpclient一起使用,但是我怀疑我的问题是证书,密钥和SSL本身。) 我已经导入了.pem文件以及从Firefox导出到cacerts中的主机的.c
-
我最近升级了Inteliij IDEA 2019.2,如果我尝试从IDE中提取Git,我会发现以下错误:无法访问'https://github.xxx.com/app-Hello-USD/DGS.git/“:SSL证书问题:证书链中的自签名证书。 有人能帮我什么选项,我必须启用。 谢谢
-
问题内容: 当尝试使用其PHP库通过Twilio发送消息时,我正在为这个错误而苦苦挣扎: 我在Windows 7上使用了wamp。 我当然找到了所有其他有关证书错误的信息。据我所知,通常更新或添加文件即可解决该问题。但是,即使这样做,我仍然遇到相同的错误。 就像这里所做的健全性检查一样,这正是我所做的: 从此处下载了最新的证书:http : //curl.haxx.se/ca/cacert.pem
-
我是不是漏掉了什么?这是构建自签名证书的正确方法吗?
-
当我使用根证书签署证书并在主题替代名称中使用dubrovnik时,java拒绝使用该证书,而是生成异常 我正在使用的密钥存储包含以下内容: 我一直在使用openssl和keytool创建本地ca和签名证书