摘 要 jsse是一个ssl和tls的纯java实现,通过jsse可以很容易地编程实现对https站点的访问。但是,如果该站点的证书未经权威机构的验证,jsse将拒绝信任该证书从而不能访问https站点。本文在简要介绍jsse的基础上提出了两种解决该问题的方法。
引言
过去的十几年,网络上已经积累了大量的web应用。如今,无论是整合原有的web应用系统,还是进行新的,都要求通过编程来访问某些web页面。传统的方法是使用socket接口,但现在很多开发平台或工具如.net、java或php等都提供了简单的web访问接口,使用这些接口很容易编程实现与web应用系统的交互访问,即使要访问那些采用了https而不是http的web应用系统。
https,即安全的超文本传输协议,采用了ssl技术,被广泛使用以保证web应用系统的安全性。访问web应用的编程接口大多封装了ssl,使得访问https和访问http一样简单。但是很多中、小型应用系统或基于局域网、校园网的应用系统所使用的证书并不是由权威的认证机构发行或者被其验证,直接使用这些编程接口将不能访问https。
本文将在简要介绍jsse的基础上,详细描述使用jsse访问https的方法,主要说明了如何访问带有未经验证证书的https站点。
jsse简介
java安全套接扩展 (java secure socket extension, jsse)是实现internet安全通信的一系列包的集合。它是一个ssl和tls的纯java实现,可以透明地提供数据加密、服务器认证、信息完整性等功能,可以使我们像使用普通的套接字一样使用jsse建立的安全套接字。jsse是一个开放的标准,不只是sun公司才能实现一个jsse,事实上其他公司有自己实现的jsse。
在深入了解jsse之前,需要了解一个有关java安全的概念:客户端的truststore文件。客户端的truststore文件中保存着被客户端所信任的服务器的证书信息。客户端在进行ssl连接时,jsse将根据这个文件中的证书决定是否信任服务器端的证书。
jsse中,有一个信任管理器类负责决定是否信任远端的证书,这个类有如下的处理规则:
⑴ 果系统属性javax.net.sll.truststore指定了truststore文件,那么信任管理器就去jre安装路径下的lib/security/目录中寻找并使用这个文件来检查证书。
⑵ 果该系统属性没有指定truststore文件,它就会去jre安装路径下寻找默认的truststore文件,这个文件的相对路径为:lib/security/jssecacerts。
⑶ 如果 jssecacerts不存在,但是cacerts存在(它随j2sdk一起发行,含有数量有限的可信任的基本证书),那么这个默认的truststore文件就是cacerts。
直接使用类httpsurlconnection访问web页面
java提供了一种非常简洁的方法来访问https网页,即使用类httpsurlconnection、url等。这几个类为支持https对jsse相关类做了进一步的封装,例子如下所示:
url requrl = new url("https://www.sun.com" ); //创建url对象
httpsurlconnection httpsconn = (httpsurlconnection)requrl.openconnection();
/*下面这段代码实现向web页面发送数据,实现与网页的交互访问
httpsconn.setdooutput(true);
outputstreamwriter out = new outputstreamwriter(huc.getoutputstream(), "8859_1");
out.write( "……" );
out.flush();
out.close();
*/
//取得该连接的输入流,以读取响应内容
inputstreamreader insr = new inputstreamreader(httpsconn.getinputstream();
//读取服务器的响应内容并显示
int respint = insr.read();
while( respint != -1){
system.out.print((char)respint);
respint = insr.read();
}
这段代码能够正常执行,然而把访问的url改为https://login.bjut.edu.cn时,程序将抛出异常javax.net.ssl.sslexception,这是由于https://login.bjut.edu.cn站点的安全证书不被jsse所信任。根据jsse简介中对信任管理器的分析,一种解决这个问题的方法是按照信任管理器的处理规则,把站点的证书放到证书库文件jssecacerts中,或者把证书存放到任一truststore文件中,然后设置系统属性javax.net.sll.truststore指向该文件。另一种解决方法则是自己实现信任管理器类,让它信任我们指定的证书。下面分别介绍这两种方法。
将证书导入到truststore文件中
java提供了命令行工具keytool用于创建证书或者把证书从其它文件中导入到java自己的truststore文件中。把证书从其它文件导入到truststore文件中的命令行格式为:
keytool -import -file src_cer_file –keystore dest_cer_store
其中,src_cer_file为存有证书信息的源文件名,dest_cer_store为目标truststore文件。
在使用keytool之前,首先要取得源证书文件,这个源文件可使用ie浏览器获得,ie浏览器会把访问过的https站点的证书保存到本地。从ie浏览器导出证书的方法是打开“internet 选项”,选择“内容”选项卡,点击“证书…”按钮,在打开的证书对话框中,选中一个证书,然后点击“导出…”按钮,按提示一步步将该证书保存到一文件中。最后就可利用keytool把该证书导入到java的truststore文件中。为了能使java程序找到该文件,应该把这个文件复制到jre安装路径下的lib/security/目录中。
这样,只需在程序中设置系统属性javax.net.sll.truststore指向文件dest_cer_store,就能使jsse信任该证书,从而使程序可以访问使用未经验证的证书的https站点。
使用这种方法,编程非常简单,但需要手工导出服务器的证书。当服务器证书经常变化时,就需要经常进行手工导出证书的操作。下面介绍的实现x509证书信任管理器类的方法将避免手工导出证书的问题。
x509证书信任管理器类的实现及应用
在jsse中,证书信任管理器类就是实现了接口x509trustmanager的类。我们可以自己实现该接口,让它信任我们指定的证书。
接口x509trustmanager有下述三个公有的方法需要我们实现:
⑴ oid checkclienttrusted(x509certificate[] chain, string authtype)
throws certificateexception
该方法检查客户端的证书,若不信任该证书则抛出异常。由于我们不需要对客户端进行认证,因此我们只需要执行默认的信任管理器的这个方法。jsse中,默认的信任管理器类为trustmanager。
⑵ oid checkservertrusted(x509certificate[] chain, string authtype)
throws certificateexception
该方法检查服务器的证书,若不信任该证书同样抛出异常。通过自己实现该方法,可以使之信任我们指定的任何证书。在实现该方法时,也可以简单的不做任何处理,即一个空的函数体,由于不会抛出异常,它就会信任任何证书。
⑶ x509certificate[] getacceptedissuers()
返回受信任的x509证书数组。
自己实现了信任管理器类,如何使用呢?类httpsurlconnection似乎并没有提供方法设置信任管理器。其实,httpsurlconnection通过sslsocket来建立与https的安全连接,sslsocket对象是由sslsocketfactory生成的。httpsurlconnection提供了方法setsslsocketfactory(sslsocketfactory)设置它使用的sslsocketfactory对象。sslsocketfactory通过sslcontext对象来获得,在初始化sslcontext对象时,可指定信任管理器对象。下面用一个图简单表示这几个jsse类的关系:
图1 部分jsse类的关系图
假设自己实现的x509trustmanager类的类名为:myx509trustmanager,下面的代码片断说明了如何使用myx509trustmanager:
//创建sslcontext对象,并使用我们指定的信任管理器初始化
trustmanager[] tm = {new myx509trustmanager ()};
sslcontext sslcontext = sslcontext.getinstance("ssl","sunjsse");
sslcontext.init(null, tm, new java.security.securerandom());
//从上述sslcontext对象中得到sslsocketfactory对象
sslsocketfactory ssf = sslcontext.getsocketfactory();
//创建httpsurlconnection对象,并设置其sslsocketfactory对象
httpsurlconnection httpsconn = (httpsurlconnection)myurl.openconnection();
httpsconn.setsslsocketfactory(ssf);
这样,httpsurlconnection对象就可以正常连接https了,无论其证书是否经权威机构的验证,只要实现了接口x509trustmanager的类myx509trustmanager信任该证书。
小结
本文主要介绍了在https的证书未经权威机构认证的情况下,访问https站点的两种方法,一种方法是把该证书导入到java的truststore文件中,另一种是自己实现并覆盖jsse缺省的证书信任管理器类。两种方法各有优缺点,第一种方法不会影响jsse的安全性,但需要手工导入证书;第二种方法虽然不用手工导入证书,但需要小心使用,否则会带来一些安全隐患。
