Wie kann ich die initialisieren eines TrustManagerFactory mit mehreren Quellen von Vertrauen?

Meine Anwendung hat eine persönliche vertrauenswürdigen Schlüsselspeicher selbst-signierte Zertifikate für die Nutzung im lokalen Netz - sagen mykeystore.jks. Ich möchte in der Lage sein, eine Verbindung zu öffentlichen Webseiten(sagen google.com) sowie diejenigen, die in meinem lokalen Netzwerk, die selbstsignierte Zertifikate verwenden, die bereitgestellt wurden, lokal.

Das problem hier ist, dass, wenn ich eine Verbindung zu https://google.com, Weg Gebäude schlägt fehl, da die Einstellung meiner eigenen keystore überschreibt die Standard-keystore mit root-CAs zusammen mit der JRE, die Berichterstattung über die Ausnahme

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Allerdings, wenn ich importieren Sie ein CA-Zertifikat in meinem eigenen keystore(mykeystore.jks) funktioniert es einwandfrei. Gibt es eine Möglichkeit diese beiden zu unterstützen?

Habe ich meine eigene TrustManger für diesen Zweck,

public class CustomX509TrustManager implements X509TrustManager {

        X509TrustManager defaultTrustManager;

        public MyX509TrustManager(KeyStore keystore) {
                TrustManagerFactory trustMgrFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
                trustMgrFactory.init(keystore);
                TrustManager trustManagers[] = trustMgrFactory.getTrustManagers();
                for (int i = 0; i < trustManagers.length; i++) {
                    if (trustManagers[i] instanceof X509TrustManager) {
                        defaultTrustManager = (X509TrustManager) trustManagers[i];
                        return;
                    }
                }

        public void checkServerTrusted(X509Certificate[] chain, String authType)
                throws CertificateException {
            try {
                defaultTrustManager.checkServerTrusted(chain, authType);
            } catch (CertificateException ce) {
            /* Handle untrusted certificates */
            }
        }
    }

Ich dann die Initialisierung des SSLContext,

TrustManager[] trustManagers =
            new TrustManager[] { new CustomX509TrustManager(keystore) };
SSLContext customSSLContext =
        SSLContext.getInstance("TLS");
customSSLContext.init(null, trustManagers, null);

und legen Sie die socket factory,

HttpsURLConnection.setDefaultSSLSocketFactory(customSSLContext.getSocketFactory());

Hauptprogramm,

URL targetServer = new URL(url);
HttpsURLConnection conn = (HttpsURLConnection) targetServer.openConnection();

Wenn ich nicht mein eigenes Vertrauen, Führungskräfte, verbindet es sich mit https://google.com gut. Wie bekomme ich eine "Standard-trust-manager", die Punkte auf dem Standard-Schlüssel speichern?

Mögliche Duplikate von Registrieren von mehreren JVM-Schlüsselspeicher in

InformationsquelleAutor varrunr | 2014-04-17

15

In trustMgrFactory.init(keystore); Sie konfigurieren defaultTrustManager mit Ihrem persönlichen keystore, nicht den Standard-system-keystore.

Basierend auf dem Lesen der Quell-code für die Sonne.Sicherheit.ssl.TrustManagerFactoryImpl, es sieht aus wie trustMgrFactory.init((KeyStore) null); würde genau das tun, was Sie brauchen (laden Sie die system-Standard-keystore), und basiert auf eine schnelle Prüfung, es scheint zu funktionieren für mich.
- Ich hab es mit Java 1.8 (build 1.8.0_60-b27). Aber es hat nicht funktioniert für mich. Ich habe den gleichen Fehler: PKIX path building failed.
- Das bedeutet aber nicht, lassen Sie Ihre Zertifikate in einem benutzerdefinierten Schlüsselspeichers, nur die CA-certs auf dem system installiert.
- Ein dickes Lob für die Bezifferung dieses heraus, durch das Lesen der Quelle! Dies vereinfacht eine Menge cacerts Pfad und den Namen der Handhabung jugglery! Auch wundert mich, dass es keine Passwort-Anforderung für Sie zu.
- funktioniert bei mir openjdk version "1.8.0_151"
InformationsquelleAutor Pasi
9

Die Antwort hier ist, wie ich kam, um zu verstehen, wie dies zu tun. Wenn Sie nur wollen, zu akzeptieren, das system-CA-CERT plus einem benutzerdefinierten Schlüsselspeicher des certs ich es vereinfacht in einer einzigen Klasse mit einigen convenience-Methoden. Vollständigen code finden Sie hier:

https://gist.github.com/HughJeffner/6eac419b18c6001aeadb
```
KeyStore keystore; //Get your own keystore here
SSLContext sslContext = SSLContext.getInstance("TLS");
TrustManager[] tm = CompositeX509TrustManager.getTrustManagers(keystore);
sslContext.init(null, tm, null);
```
- Composite-trust-manager ist eine wirklich hilfreiche Lösung.
InformationsquelleAutor Hugh Jeffner

Ich habe laufen in das gleiche Problem mit Commons HttpClient. Funktionierende Lösung für meinen Fall war das erstellen delegationskette für PKIX TrustManagers in folgender Weise:

public class TrustManagerDelegate implements X509TrustManager {
    private final X509TrustManager mainTrustManager;
    private final X509TrustManager trustManager;
    private final TrustStrategy trustStrategy;

    public TrustManagerDelegate(X509TrustManager mainTrustManager, X509TrustManager trustManager, TrustStrategy trustStrategy) {
        this.mainTrustManager = mainTrustManager;
        this.trustManager = trustManager;
        this.trustStrategy = trustStrategy;
    }

    @Override
    public void checkClientTrusted(
            final X509Certificate[] chain, final String authType) throws CertificateException {
        this.trustManager.checkClientTrusted(chain, authType);
    }

    @Override
    public void checkServerTrusted(
            final X509Certificate[] chain, final String authType) throws CertificateException {
        if (!this.trustStrategy.isTrusted(chain, authType)) {
            try {
                mainTrustManager.checkServerTrusted(chain, authType);
            } catch (CertificateException ex) {
                this.trustManager.checkServerTrusted(chain, authType);
            }
        }
    }

    @Override
    public X509Certificate[] getAcceptedIssuers() {
        return this.trustManager.getAcceptedIssuers();
    }

}

Und initialisieren HttpClient in der folgenden Weise (ja es ist hässlich):

final SSLContext sslContext;
try {
    sslContext = SSLContext.getInstance("TLS");
    final TrustManagerFactory javaDefaultTrustManager = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    javaDefaultTrustManager.init((KeyStore)null);
    final TrustManagerFactory customCaTrustManager = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    customCaTrustManager.init(getKeyStore());

    sslContext.init(
        null,
        new TrustManager[]{
            new TrustManagerDelegate(
                    (X509TrustManager)customCaTrustManager.getTrustManagers()[0],
                    (X509TrustManager)javaDefaultTrustManager.getTrustManagers()[0],
                    new TrustSelfSignedStrategy()
            )
        },
        secureRandom
    );

} catch (final NoSuchAlgorithmException ex) {
    throw new SSLInitializationException(ex.getMessage(), ex);
} catch (final KeyManagementException ex) {
    throw new SSLInitializationException(ex.getMessage(), ex);
}

SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(sslContext);

PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(
        RegistryBuilder.<ConnectionSocketFactory>create()
                .register("http", PlainConnectionSocketFactory.getSocketFactory())
                .register("https", sslSocketFactory)
                .build()
);
//maximum parallel requests is 500
cm.setMaxTotal(500);
cm.setDefaultMaxPerRoute(500);

CredentialsProvider cp = new BasicCredentialsProvider();
cp.setCredentials(
        new AuthScope(apiSettings.getIdcApiUrl(), 443),
        new UsernamePasswordCredentials(apiSettings.getAgencyId(), apiSettings.getAgencyPassword())
);

client = HttpClients.custom()
                    .setConnectionManager(cm)
                    .build();

In Ihrem Fall mit einfachen HttpsURLConnection, die Sie eventuell erhalten, indem Sie mit der vereinfachten version der delegierenden Klasse:

public class TrustManagerDelegate implements X509TrustManager {
    private final X509TrustManager mainTrustManager;
    private final X509TrustManager trustManager;

    public TrustManagerDelegate(X509TrustManager mainTrustManager, X509TrustManager trustManager) {
        this.mainTrustManager = mainTrustManager;
        this.trustManager = trustManager;
    }

    @Override
    public void checkClientTrusted(
            final X509Certificate[] chain, final String authType) throws CertificateException {
        this.trustManager.checkClientTrusted(chain, authType);
    }

    @Override
    public void checkServerTrusted(
            final X509Certificate[] chain, final String authType) throws CertificateException {
        try {
            mainTrustManager.checkServerTrusted(chain, authType);
        } catch (CertificateException ex) {
            this.trustManager.checkServerTrusted(chain, authType);
        }
    }

    @Override
    public X509Certificate[] getAcceptedIssuers() {
        return this.trustManager.getAcceptedIssuers();
    }

}

Lösung ist beschrieben in mehr details hier: blog.novoj.net/2016/02/29/...

InformationsquelleAutor Novoj

Für Android-Entwickler, können Sie dies viel einfacher. In Zusammenfassung, können Sie ein xml-res-Datei config Ihrem benutzerdefinierten certs.

Schritt 1: öffnen Sie die xml-Manifestdatei ein Attribut hinzuzufügen.

<manifest ... >
    <application android:networkSecurityConfig="@xml/network_security_config"
                    ... >
        ...
    </application>
</manifest>

Schritt 2: Hinzufügen network_security_config.xml zu res/xml, config certs, wie Sie wollen.

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config>
        <trust-anchors>
            <certificates src="@raw/extracas"/>
            <certificates src="system"/>
        </trust-anchors>
    </base-config>
</network-security-config>

Hinweis: diese xml unterstützen können, viele andere Verwendung, und diese Lösung funktioniert nur auf api24+.

Offizielle Referenz: hier

InformationsquelleAutor KFJK

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.