本章是HTTPS那些事儿的第二篇文章,其他相关文章请参见:前言
本篇主要描述JAVA中与HTTPS相关的概念与代码实现。
- JAVA中的证书
- KeyStore和TrustStore
- SSL层证书校验过程
- HttpsURLConnection
* 注意
本文纯手工打造,转载请注明出处。
JAVA中的证书
Java在JRE的安装目录中保存了一份默认可信的证书列表,这个列表保存在$JRE/lib/security/cacerts文件中,可以通过JRE自带的keytool工具打开该文件,默认密码为changeit。可以通过如下命令列出cacerts中的所有内容:
keytool -list -keystore cacerts
回车后可以看到如下内容:
cacerts内容
这里显示的是简略内容,如果需要查看RFC格式的输出,可以添加rfc参数,也就是:
keytool -list -rfc -keystore cacerts
还可以查看确定某一项的的详细信息,只需要加上-alias和-v参数即可。
KeyStore和TrustStore
我们所说的cacert文件其实是一个KeyStore文件,KeyStore文件可以存放数字证书、对称密钥等信息,这里所述的KeyStore只是一种文件格式。
java中的KeyStore这种文件可以分为两类:KeyStore和TrustStore。KeyStore保存私钥,在加解密、签名时使用。TrustStore保存可信任的证书,用于对被访问者进行认证。所以准确的来说cacerts文件其实应该属于TrustStore。
对应于KeyStore和TrustStore,Java中有两个类:KeyManager 和 TrustManager。在JSSE 的参考手册中有一张示意图,说明了java中https实现的各个类之间的关系:
java中SSL层类图
可以看出如果要进行 SSL 会话,必须得新建一个 SSLSocket 对象,而 SSLSocket 对象是通过 SSLSocketFactory 来管理的,SSLSocketFactory 对象则依赖于 SSLContext ,SSLContext 对象又依赖于 keyManager、TrustManager 和 SecureRandom。而这里面的TrustManager就是负责对网站进行认证,校验其CA证书是否合法的。
SSL/TSL层证书校验过程
知道了JAVA中的https相关的类之后,我们就可以来分析JAVA中的https认证过程了,https的认证过程其实就是SSL/TSL的认证过程。
1. 初始化阶段
初始化SSLContext时会将TrustStore中的所有证书加载进来。TrustManagerFactoryImpl.getCacertsKeyStore()方法负责加载证书,首先查找$JRE/lib/security/jssecacerts文件是否存在,如果不存在则加载$JRE/lib/security/cacerts文件。如果都不存在,则使用空的TrustStore,这样的话不会有服务器的CA证书被校验通过。
2. 创建TrustManage
在TrustStore加载完毕后,会初始化TrustManager,默认使用实现类X509TrustManagerImpl。该类在构造方法中会调用KeyStores.getTrustedCerts(KeyStore)方法将TrustStore中的证书加载成X509Certificate证书。
3. checkServerTrusted
初始化后,客户端会与服务器端建立连接,然后进入Handshake过程,当拿到服务器端的CA证书时,会调用X509TrustManager. checkServerTrusted(…)方法,该方法完成实际的证书校验:
a).校验域名/IP
校验访问地址中的域名/IP(要么域名,要么IP)是否与服务器证书包含的一致,使用到HostnameChecker. match方法进行。如果访问使用的是域名,但服务器CA证书中没有包含域名,则抛出错误:
No subject alternative DNS name matching localhost found //其中localhost表示域名。
如果访问使用的是IP,但服务器CA证书中没有IP,则抛出错误:
No subject alternative names present
如果域名不匹配抛出错误:
No name matching localhost found //其中localhost表示域名。
如果IP不匹配,则抛出错误:
No subject alternative names matching IP address 127.0.0.1 found //其中127.0.0.1表示ip。
b). 服务器证书是否可信
通过加载的TrustStore证书来校验服务器的证书是否由信任的证书机构颁发,使用到方法PKIXValidator.engineValidate()。该校验过程如果失败,则抛出类似如下错误:
PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException:
unable to find valid certification path to requested target
HttpsUrlConnection
java中访问HTTP服务时,会使用到HttpURLConnection,而如果访问的是HTTPS则会使用HttpsURLConnection。相关类图如下:
Http相关类图
可以看出如果访问的是Http,则使用HttpURLConnection,该类使用HttpClient完成实际的网络请求。如果访问的是HTTPS,则会使用HttpsURLConnection,同样会使用对应的HttpsClient。HttpsURLConnection的实现类HttpsURLConnectionImpl中会使用到两个类,HostnameVerifier和SSLSocketFactory。这两个类是实现HTTPS请求的核心,通过配置这两个类可以影响SSL层校验域名/IP和服务器证书校验的过程。可以通过HttpsURLConnection.SetDefaultSSLSocketFactory和HttpsURLConnection.SetDefaultHostnameVerifier来设置,后续会有代码示例。
HostnameVerifier
根据上一小节SSL/TSL层证书校验过程所述,在SSL/TLS层面已经会校验hostname了,而在HTTPS层我们同样有HostnameVerifier来校验hostname,为什么呢?其实二者之间是合作关系,HTTPS层的会影响SSL/TLS层的逻辑,他们的关系可以通过如下表格来表示:
HTTPS与SSL层Hostname校验器关系
- EIA algorithm表示SSL/TLS层面的校验,SSL层面可以通过如下方法进行设置:
SSLParameters.setEndpointIdentificationAlgorithm(String)
可设置三个值null,HTTPS和LDAP/其他。
- HNV表示HTTPS层面的HostnameVerifier,HNV可以通过方法HttpsURLConnection.setDefaultHostnameVerifier(obj)进行设置,如果不设置则表中的值为defualt,如果设置了,则值为non-default。defualt的实现类为DefaultHostnameVerifier,该类为HttpsURLConnectionImpl的静态内部类。
case1: default HNV and EIA is null
结果是设置SSL/TSL层为HTTPS,仅由SSL/TLS层进行hostname校验(JDK中默认使用的是该规则)。
case 2: default HNV and EIA is HTTPS
结果是使用SSL/TSL层的值HTTPS,仅由SSL/TLS层进行hostname校验
case 3: default HNV and EIA不是HTTPS
结果是SSL/TLS层使用设置的值LDAP/其他进行校验,而hostname则在HTTPS层使用默认的DefaultHostnameVerifier校验
case 4: non-default HNV and EIA is null
SSL/TLS层不做任何校验,HTTPS层使用设置的HNV规则校验hostname
case 5: non-default HNV and EIA is HTTPS
结果是使用EIA algorithm的值,由SSL/TLS层进行hostname校验。该情况下不允许在HTTP层进行校验。
case 6: non-default HNV and EIA不是HTTPS
结果是SSL/TLS层使用设置的值LDAP/其他进行校验,而hostname则在HTTPS层使用设置的HNV规则校验hostname
SSLSocketFactory
SSLSocketFactory是负责SSL层面校验hostname、客户端证书和服务器证书的SSLSocket的工厂,默认情况下HttpsURLConnectionImpl中会获取默认的SSLSockectFactory,默认的factory会使用X509TrustManagerImpl来执行hostname和证书的校验,校验规则参考前一小节SSL/TSL层证书校验过程。
总结
本篇从java中TrustStore和KeyStore入手,深入到JAVA中的SSL和HTTPS相关实现类。分析了,java中比较核心的几个类。后续文章,会介绍java中使用HTTPS经常遇到的场景:不校验服务器证书。
网友评论