我正在尝试创建一个 java SSL 套接字服务器应用程序,一些 java SSL 套接字客户端应用程序将连接到该应用程序。为保证通信双方的可信度,
(1) 如果客户端的证书是用服务器的私钥签名的,服务器应该只接受客户端连接
(2) 如果服务器的证书包含在客户端的可信存储中,则客户端应该只与服务器通信。
因为我对 JSSE 完全陌生,所以我只管理客户端应用程序以仅当其证书包含在客户端的受信任存储中时才连接到服务器(条件 2)。但是,我不知道如何达到我的第一个条件......
我会很感激每一种帮助。
最好的问候,加尔维斯顿01
如果我正确理解您的问题,那么您要问的是如何启用双向 SSL/TLS。这需要客户端验证服务器证书(您问题中的第 2 点)和服务器验证客户端证书 - 称为客户端身份验证(第 1 点)。
听起来您已经获得了“常规”的 TLS 工作方式。我假设您自己创建并签署了服务器证书(又名自签名证书),这就是您必须将服务器证书本身导入客户端信任库的原因 - 没有使用过的 CA 根/中间证书与之签署。
要启用客户端身份验证(第 1 点),您需要做两件事:
确保客户端证书在服务器的信任库中(和以前一样,如果这不是自签名证书,那么您需要将根/中间证书导入服务器信任库,无需导入证书本身)。由于您已经在客户端完成了此过程,因此应该不会造成任何问题。
在服务器上配置 JSSE 以启用客户端身份验证。为此,您需要设置以下属性:
SSLServerSocket.setNeedClientAuth(true)
假设服务器上的信任库包含您的自签名客户端证书,而客户端上的信任库包含您的自签名服务器证书,那么这应该可以工作。
如果您没有使用自签名证书,但实际上可以访问测试 CA 或使用真正签名的证书(没有理由不使用letencrypt),那么您可能想查看这些 SO 问题的答案和评论:
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句