如何请求需要客户端证书进行身份验证的URL

目前尚不清楚您所讨论的限制是什么。更具体地说，我不确定您认为本地证书文件和密钥库之间的区别是什么。大多数密钥库都是基于文件的，因此您可以直接以这种方式加载文件，而无需安装过程。这些限制是否与JVM本身使用的安全策略有关（这可能会阻止您实例化KeyStores）？

首先，它不仅是客户端所需的证书，还包括其私钥。人们经常在此上下文中使用“证书”一词来表示两者，但是您需要确保您的文件不包含没有私钥的证书。通常，您会在PKCS＃12文件（.p12
/ .pfx）中找到私钥+证书的组合，很多工具都以这种格式导入/导出；它也是Sun JVM（类型PKCS12）本地支持的密钥库格式。

要使此工作有效，您需要配置与适当的密钥库建立连接的方式。SSL /
TLS客户端证书身份验证始终由服务器启动：如果客户端拥有证书（并希望使用该证书），则客户端将使用证书进行响应。要为特定的URL配置它，您需要找出是什么原因造成的连接（可能是HttpsURLConnection）并在那里进行设置（除非它是在默认上下文中设置的-
即使它是在默认上下文中设置的，也仅会使用它）对于请求它的服务器）。

要在JVM上全局设置密钥库（这可能是您的限制阻止您执行的操作），可以设置javax.net.ssl.keyStore
javax.net.ssl.keyStorePassword（和相关的）系统属性。（因为密码是可见的，所以最好不要在命令行上输入密码）。

这些系统属性用于配置默认属性SSLContext（通常透明地由库或类使用，例如HttpsURLConnection用于构建SSLSocketFactory，然后SSLSocket用这些属性初始化）。

您可以SSLContext从文件中构建专门用于该连接的文件。该SSLContext实际上是对一个工厂SSLSocketFactory或者SSLEngine，你可以设置SSLSocketFactory在给定的HttpsURLConnection。

下面的代码将SSLContext使用“
/path/to/file.p12”作为密钥库（这是一个具有私钥和要发送的证书的密钥库），并保留信任库的默认设置（您可以还需要捕获输入流的异常）。

KeyStore ks = KeyStore.getInstance("PKCS12");
FileInputStream fis = new FileInputStream("/path/to/file.p12");
ks.load(fis, "password".toCharArray());
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
kmf.init(ks, "password".toCharArray());
SSLContext sc = SSLContext.getInstance("TLS");
sc.init(kmf.getKeyManagers(), null, null);

从那里，您可以像这样配置连接（如果这是您正在使用的）：

HttpURLConnection connection = (HttpURLConnection) url.openConnection();
if (connection instanceof HttpsURLConnection) {
    ((HttpsURLConnection)connection)
         .setSSLSocketFactory(sc.getSocketFactory());
}

一些库会让您SSLContext直接传递（Apache HTTP Client 4支持该传递，而Apache HTTP Client
3可以使用this来完成。）

请注意，加载密钥库时不需要提供密码作为直接参数，还可以使用回调（从GUI的角度来看可能更好）。

也许这个库可以提供帮助（但不是必须的）：您可以使用的KeystoreLoader帮助器来实现这一点。该库中也有SSLContextFactories（但是您可能不需要任何包装，因为它们通常用于自定义信任管理或密钥选择）。

通常，这是使用客户端证书进行配置的方式，但是如果不弄清您的限制到底是什么（以及您使用的是哪个库），则很难提供更多详细信息。