Java:如何添加SSL客户端身份验证

我有这个代码使用SSL连接服务器和客户端,现在我想添加客户端身份验证:

(我有一个服务器密钥库(JCEKS类型)和一个客户端密钥库(JKS类型),服务器使用信任库(cacerts),我导入了两个证书,因为我也想使用此信任库进行客户端身份验证)

客户代码:

System.setProperty("javax.net.ssl.trustStore", cerServer);
System.setProperty("javax.net.ssl.trustStoreType","JCEKS");
System.setProperty("javax.net.ssl.trustStorePassword", pwdCacerts);

SSLSocketFactory sslsocketfactory = (SSLSocketFactory)  SSLSocketFactory.getDefault();
SSLSocket sslsocket = (SSLSocket) sslsocketfactory.createSocket("localhost", port);

服务器代码:

KeyStore ks = LoadKeyStore(new File(serverKeyStore), pwdKeyStore, "JCEKS");
KeyManagerFactory kmf; 
kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(ks, pwdKeyStore.toCharArray());

SSLContext sc = SSLContext.getInstance("SSL");
sc.init(kmf.getKeyManagers(),null, null);   

SSLServerSocketFactory ssf = sc.getServerSocketFactory(); 
sslserversocket = (SSLServerSocket) ssf.createServerSocket(port);

提前感谢您的帮助.

编辑:我在服务器端添加此代码:

System.setProperty("javax.net.ssl.trustStore", cacerts);
System.setProperty("javax.net.ssl.trustStoreType","JKS");
System.setProperty("javax.net.ssl.trustStorePassword", pwdCacerts);

但如果我在cacerts中删除客户端证书,连接不会给我错误,因此我认为这是错误的

1> Bruno..：

---

如果您希望系统使用客户端证书身份验证,则需要

服务器请求(或要求)客户端证书.这可以通过设置setWantClientAuth(true)服务器套接字(或setNeedClientAuth分别)来完成.您还需要服务器通告它接受的CA,这通常是通过在服务器上使用信任库来完成的,该信任库包含颁发客户端证书链的CA(这似乎是您通过设置完成的操作)javax.net.ssl.trustStore*在服务器上).

要配置包含客户端证书的密钥库的客户端(如果存在中间CA,则可能是链)及其私钥.这可以通过设置javax.net.ssl.keyStore*(可能影响其他连接)或使用KeyManagerFactory与服务器端相同的方式来完成.

如果您使用setWantClientAuth(true),您可能仍然没有收到错误,因为服务器将接受没有客户端证书的连接(服务器将检查SSLSession对等证书以查看是否有证书).setNeedClientAuth(true)当客户端不提供证书时会断开连接.

---

需要明确的是,`setNeedClientAuth`只是*服务器*侧设置.我假设你在这里谈论接受的套接字.您应该能够通过调用`getSSLSession().invalidate()来触发重新协商.

---

@Bruno我纠正了你的第二个要点,请检查.注意如果他在做任何I/O之前设置了`wantClientAuth`或`needClientAuth`,他还没有完成握手,所以他不需要让任何事情无效.

---

使会话无效后,任何进一步的I/O都将导致新的握手:您实际上根本不需要调用startHandshake().如果要在此时立即检查证书,而不允许任何进一步的I/O,只需调用SSLSocket.getSession()并从中获取对等证书(a).