这个话题花了我很多时间弄清楚。零星的信息零散,人们必须将所有信息汇总在一起。我希望通过这篇文章可以帮助其他人快速组装一个可行的解决方案。
我有一个client-cert.pem
,client-key.pem
和一个root.pem
文件,我需要使用他们在我的Java客户端来访问远程REST API。
如何将它们打包到信任库中并使用它们进行API调用?
为了将证书加载到应用程序中,您需要将其打包到信任库中。
创建一个信任库
给定3个文件:
client-cert.pem
client-key.pem
root.pem
在终端中运行以下命令。替换PASSWORD
为所需的密码。
将您的客户端密钥和证书打包到密钥库中。这将创建一个PKCS12密钥库文件。
openssl pkcs12 -export \
-inkey client-key.pem -in client-cert.pem \
-out client.pfx -passout pass:PASSWORD \
-name qlikClient
将密钥库添加到您的信任库。如果目的地没有退出,它将创建一个信任库。这将创建一个PKCS12
信任库文件。默认情况下,它会创建JKS
一个专有格式的文件。通过指定,-deststoretype PKCS12
您将创建一个行业标准格式的文件。
keytool -importkeystore \
-destkeystore truststore.pfx -deststoretype PKCS12 -deststorepass PASSWORD \
-srckeystore client.pfx -srcstorepass PASSWORD -srcstoretype PKCS12 \
-alias qlikClient
将您的根CA添加到信任库
keytool -importcert \
-keystore truststore.pfx -storepass PASSWORD \
-file root.pem -noprompt \
-alias qlikServerCACert
请注意,在以上命令中,我们PASSWORD
对密钥库和信任库使用相同的命令。您也可以使用其他密码。还要注意,您必须为添加到信任库的每个项目指定别名。
如果您希望信任库信任系统中所有可用的证书,请在-trustcacerts
步骤2或3中添加选项。
您可以使用以下命令列出信任库的内容
keytool -list -keystore truststore.pfx -storepass PASSWORD
在您的应用程序中使用信任库
拥有信任库后,您需要将其加载到应用程序中。假设您有一个常数KEYSTORE_PATH
保存信任库的路径并keyStorePass
保留密码,请将信任库文件读入KeyStore
private KeyStore readStore() {
try (InputStream keyStoreStream = new FileInputStream(KEYSTORE_PATH)) {
KeyStore keyStore = KeyStore.getInstance("PKCS12"); // or "JKS"
keyStore.load(keyStoreStream, keyStorePass.toCharArray());
return keyStore;
} catch (KeyStoreException | CertificateException | NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
}
创建一个自定义SSLContext
和一个自定义HttpClient
,
final KeyStore truststore = readStore();
final SSLContext sslContext;
try {
sslContext = SSLContexts.custom()
.loadTrustMaterial(truststore, new TrustAllStrategy())
.loadKeyMaterial(truststore, keyStorePass.toCharArray(), (aliases, socket) -> "qlikClient")
.build();
} catch (NoSuchAlgorithmException | KeyStoreException | KeyManagementException | UnrecoverableKeyException e) {
throw new RuntimeException("Failed to read keystore", e);
}
final CloseableHttpClient httpClient = HttpClients.custom().setSSLContext(sslContext).build();
现在,您可以使用它HttpClient
向您的API发出请求。
HttpResponse response = httpClient.execute(new HttpGet("https://sense-gcp-central1eu.net:4242/qrs/app/full"));
或者,如果您使用的是OpenUnirest / unirest-java库,则可以将Unirest配置为使用自定义HttpClient
Unirest.config().httpClient(httpClient);
HttpResponse<JsonNode> response = Unirest.get("https://sense-gcp-central1eu.net:4242/qrs/app/full").asJson();
参考文献
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句