在Play Framework 1.2.7中使用的Netty的SSL处理程序中处理多个证书

 阿连AND王进_893_799 发布于 2023-02-07 19:12
  • java
  • 服务器
  • netty
  • ssl
  • https
  • text

    • 我有一个Java密钥库,我为每个客户的子域存储证书.我打算使用服务器别名来区分密钥存储区中的多个客户,如此处所示.Play框架1.2.7使用Netty的SslHandler来支持服务器端的SSL.我尝试实现使用此解决方案的自定义SslHttpServerContextFactory .

    import play.Play;

import javax.net.ssl.*;
import java.io.FileInputStream;
import java.net.InetAddress;
import java.net.Socket;
import java.security.KeyStore;
import java.security.Principal;
import java.security.PrivateKey;
import java.security.Security;
import java.security.cert.X509Certificate;
import java.util.Properties;

public class CustomSslHttpServerContextFactory {

  private static final String PROTOCOL = "SSL";
  private static final SSLContext SERVER_CONTEXT;

  static {

    String algorithm = Security.getProperty("ssl.KeyManagerFactory.algorithm");
    if (algorithm == null) {
      algorithm = "SunX509";
    }

    SSLContext serverContext = null;
    KeyStore ks = null;
    try {
      final Properties p = Play.configuration;

      // Try to load it from the keystore
      ks = KeyStore.getInstance(p.getProperty("keystore.algorithm", "JKS"));
      // Load the file from the conf
      char[] certificatePassword = p.getProperty("keystore.password", "secret").toCharArray();
      ks.load(new FileInputStream(Play.getFile(p.getProperty("keystore.file", "conf/certificate.jks"))),
          certificatePassword);

      // Set up key manager factory to use our key store
      KeyManagerFactory kmf = KeyManagerFactory.getInstance(algorithm);
      kmf.init(ks, certificatePassword);
      TrustManagerFactory tmf = TrustManagerFactory.getInstance(algorithm);
      tmf.init(ks);

      final X509KeyManager origKm = (X509KeyManager) kmf.getKeyManagers()[0];
      X509KeyManager km = new X509KeyManagerWrapper(origKm);

      // Initialize the SSLContext to work with our key managers.
      serverContext = SSLContext.getInstance(PROTOCOL);
      serverContext.init(new KeyManager[]{km}, tmf.getTrustManagers(), null);
    } catch (Exception e) {
      throw new Error("Failed to initialize the server-side SSLContext", e);
    }

    SERVER_CONTEXT = serverContext;
  }

  public static SSLContext getServerContext() {
    return SERVER_CONTEXT;
  }

  public static class X509KeyManagerWrapper implements X509KeyManager {
    final X509KeyManager origKm;

    public X509KeyManagerWrapper(X509KeyManager origKm) {
      this.origKm = origKm;
    }

    public String chooseServerAlias(String keyType,
                                    Principal[] issuers, Socket socket) {
      InetAddress remoteAddress = socket.getInetAddress();
      //TODO: Implement alias selection based on remoteAddress

      return origKm.chooseServerAlias(keyType, issuers, socket);
    }

    @Override
    public String chooseClientAlias(String[] keyType,
                                    Principal[] issuers, Socket socket) {
      return origKm.chooseClientAlias(keyType, issuers, socket);
    }

    @Override
    public String[] getClientAliases(String s, Principal[] principals) {
      return origKm.getClientAliases(s, principals);
    }

    @Override
    public String[] getServerAliases(String s, Principal[] principals) {
      return origKm.getServerAliases(s, principals);
    }

    @Override
    public X509Certificate[] getCertificateChain(String s) {
      return origKm.getCertificateChain(s);
    }

    @Override
    public PrivateKey getPrivateKey(String s) {
      return origKm.getPrivateKey(s);
    }

  }

}

    但是,这种方法由于某种原因不起作用.我在SSL调试日志中收到此消息.

    X509KeyManager passed to SSLContext.init():  need an X509ExtendedKeyManager for SSLEngine use

    这是SSL 跟踪,失败时"没有共同的密码套件".现在,我将包装器切换为:

    public static class X509KeyManagerWrapper extends X509ExtendedKeyManager

    通过这个更改,我摆脱了警告,但我仍然看到与"没有共同的密码套件"之前相同的错误,这里是SSL 跟踪.我不确定为什么关键经理的代表团不会工作.

    在此上下文中可能有用的更多信息.

    Netty使用javax.net.ssl.SSLEngine来支持NIO服务器中的SSL.

    根据此错误报告中的建议,X509ExtendedKeyManager必须与SSLEngine一起使用.因此,包装器必须扩展X509ExtendedKeyManager.

    这阻碍了我在X509KeyManagerWrapper中进一步使用自定义别名选择逻辑.关于这里可能发生的事情的任何线索?在Netty/Play中还有其他方法可以实现吗?感谢任何建议.

    1 个回答

    • SSLEngine使用该chooseEngineServerAlias方法选择要使用的证书(在服务器模式下) - 而不是chooseServerAlias方法.

      默认chooseEngineServerAlias 实现实际返回null,这是导致"无密码套件共同"消息的原因 - 您需要证书才能知道可以使用哪些密码套件(例如,如果证书具有ECC公钥,则ECDSA只能用于身份验证,实际上有一些密码套件可以在没有证书的情况下使用,但是,这些密码套件通常是禁用的,因为它们容易受到MITM攻击.

      因此,您还应该覆盖chooseEngineServerAlias并实现逻辑,以根据其中的IP地址选择证书.正如Netty所使用的那样SSLEngine,chooseServerAlias无所谓 - 它永远不会被称为.

      Java 8还支持服务器端SNI,它允许您使用单个IP地址在多个主机名上使用多个证书.大多数Web浏览器都支持SNI - 值得注意的例外是在Windows XP上运行的IE和一些旧版本的Android,但是这些使用率正在下降.我创建了一个小示例应用程序,演示如何在GitHub上使用Netty中的SNI .它的工作原理的核心部分是覆盖chooseEngineServerAlias - 它应该给你足够的提示,即使你想使用每个IP地址技术而不是SNI的一个证书.

      (我在Netty邮件列表上发布了类似的答案,你也问过这个问题 - 但是,我的帖子似乎还没有被批准,所以我想我也会在这里回答,所以你可以尽快得到答案. )

      2023-02-07 19:15 回答
    撰写答案
    今天,你开发时遇到什么问题呢?
    立即提问
    热门标签
    PHP1.CN | 中国最专业的PHP中文社区 | PNG素材下载 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
    Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有