Я включил https в tomcat и получил самозаверяющий сертификат для сервера auth. Я создал клиент http с помощью Apache httpClient. Я установил диспетчер доверия, загружающий сертификат сервера. Клиент http не может подключиться к серверу. Чтобы узнать, что происходит, я включил отладку:
System.setProperty("javax.net.debug", "ssl");
Я увидел следующее, чего я совсем не понимаю:
***
adding as trusted cert:
Subject: CN=Me, OU=MyHouse, O=Home, L=X, ST=X, C=BB
Issuer: CN=Me, OU=MyHouse, O=Home, L=X, ST=X, C=BB
Algorithm: RSA; Serial number: 0x4d72356b
Valid from Sat Mar 05 15:06:51 EET 2011 until Fri Jun 03 16:06:51 EEST 2011
Мой сертификат отображается и добавляется в доверительный магазин (как я вижу). Тогда:
trigger seeding of SecureRandom
done seeding SecureRandom
Вот часть от трассировки отладки, которую я не получаю:
trustStore is: C:\Program Files\Java\jre6\lib\security\cacerts
trustStore type is : jks
trustStore provider is :
init truststore
adding as trusted cert:
Subject: CN=SwissSign Platinum CA - G2, O=SwissSign AG, C=CH
Issuer: CN=SwissSign Platinum CA - G2, O=SwissSign AG, C=CH
Algorithm: RSA; Serial number: 0x4eb200670c035d4f
Valid from Wed Oct 25 11:36:00 EEST 2006 until Sat Oct 25 11:36:00 EEST 2036
adding as trusted cert:
Subject: [email protected], CN=http://www.valicert.com/, OU=ValiCert Class 1 Policy Validation Authority, O="ValiCert, Inc.", L=ValiCert Validation Network
Issuer: [email protected], CN=http://www.valicert.com/, OU=ValiCert Class 1 Policy Validation Authority, O="ValiCert, Inc.", L=ValiCert Validation Network
Algorithm: RSA; Serial number: 0x1
Valid from Sat Jun 26 01:23:48 EEST 1999 until Wed Jun 26 01:23:48 EEST 2019
Кажется, что он также использует хранилище доверия java по умолчанию! Мой вопрос, почему это происходит?
В моем коде я указываю явно конкретный магазин доверия для использования (через truststoremanagers). Я ожидал, что только это будет использовано. Кажется, что используются оба моих доверия и java-по умолчанию. Так ли это должно работать?
UPDATE:
Я попробовал следующее:
System.out.println("TMF No:"+tmf.getTrustManagers().length);
System.out.println("Class is "+tmf.getTrustManagers()[0].getClass().getName());
Я думал, что должен увидеть 2 доверительных менеджера, поскольку 2 хранилища ключей (по умолчанию используются мои и java-по умолчанию).
Но результатом стал только один доверительный менеджер!
TMF No:1
Class is com.sun.net.ssl.internal.ssl.X509TrustManagerImpl
UPDATE2: Как вы видите в приведенном ниже коде, я указываю свое хранилище ключей. Мы ожидаем, что только это необходимо использовать (не это и cacert)
HttpClient client = new DefaultHttpClient();
SSLContext sslContext = SSLContext.getInstance("TLS");
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
KeyStore ks = KeyStore.getInstance("JKS");
File trustFile = new File("clientTrustStore.jks");
ks.load(new FileInputStream(trustFile), null);
tmf.init(ks);
sslContext.init(null, tmf.getTrustManagers(),null);
SSLSocketFactory sf = new SSLSocketFactory(sslContext);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
Scheme scheme = new Scheme("https", sf, 443);
client.getConnectionManager().getSchemeRegistry().register(scheme);
httpGet = new HttpGet("https://localhost:8443/myApp");
HttpResponse httpResponse = client.execute(httpGet);
Не имеет смысла для меня.