摘 要 jsse是一個ssl和tls的純java實現,通過jsse可以很容易地編程實現對https站點的訪問。但是,如果該站點的證書未經權威機構的驗證,jsse將拒絕信任該證書從而不能訪問https站點。本文在簡要介紹jsse的基礎上提出了兩種解決該問題的方法。
引言
過去的十幾年,網絡上已經積累了大量的web應用。如今,無論是整合原有的web應用系統,還是進行新的,都要求通過編程來訪問某些web頁面。傳統的方法是使用socket接口,但現在很多開發平臺或工具如.net、java或php等都提供了簡單的web訪問接口,使用這些接口很容易編程實現與web應用系統的交互訪問,即使要訪問那些采用了https而不是http的web應用系統。
https,即安全的超文本傳輸協議,采用了ssl技術,被廣泛使用以保證web應用系統的安全性。訪問web應用的編程接口大多封裝了ssl,使得訪問https和訪問http一樣簡單。但是很多中、小型應用系統或基于局域網、校園網的應用系統所使用的證書并不是由權威的認證機構發行或者被其驗證,直接使用這些編程接口將不能訪問https。
本文將在簡要介紹jsse的基礎上,詳細描述使用jsse訪問https的方法,主要說明了如何訪問帶有未經驗證證書的https站點。
jsse簡介
java安全套接擴展 (java secure socket extension, jsse)是實現internet安全通信的一系列包的集合。它是一個ssl和tls的純java實現,可以透明地提供數據加密、服務器認證、信息完整性等功能,可以使我們像使用普通的套接字一樣使用jsse建立的安全套接字。jsse是一個開放的標準,不只是sun公司才能實現一個jsse,事實上其他公司有自己實現的jsse。
在深入了解jsse之前,需要了解一個有關java安全的概念:客戶端的truststore文件。客戶端的truststore文件中保存著被客戶端所信任的服務器的證書信息。客戶端在進行ssl連接時,jsse將根據這個文件中的證書決定是否信任服務器端的證書。
jsse中,有一個信任管理器類負責決定是否信任遠端的證書,這個類有如下的處理規則:
⑴ 果系統屬性javax.net.sll.truststore指定了truststore文件,那么信任管理器就去jre安裝路徑下的lib/security/目錄中尋找并使用這個文件來檢查證書。
⑵ 果該系統屬性沒有指定truststore文件,它就會去jre安裝路徑下尋找默認的truststore文件,這個文件的相對路徑為:lib/security/jssecacerts。
⑶ 如果 jssecacerts不存在,但是cacerts存在(它隨j2sdk一起發行,含有數量有限的可信任的基本證書),那么這個默認的truststore文件就是cacerts。
直接使用類httpsurlconnection訪問web頁面
java提供了一種非常簡潔的方法來訪問https網頁,即使用類httpsurlconnection、url等。這幾個類為支持https對jsse相關類做了進一步的封裝,例子如下所示:
url requrl = new url("https://www.sun.com" ); //創建url對象
httpsurlconnection httpsconn = (httpsurlconnection)requrl.openconnection();
/*下面這段代碼實現向web頁面發送數據,實現與網頁的交互訪問
httpsconn.setdooutput(true);
outputstreamwriter out = new outputstreamwriter(huc.getoutputstream(), "8859_1");
out.write( "……" );
out.flush();
out.close();
*/
//取得該連接的輸入流,以讀取響應內容
inputstreamreader insr = new inputstreamreader(httpsconn.getinputstream();
//讀取服務器的響應內容并顯示
int respint = insr.read();
while( respint != -1){
system.out.print((char)respint);
respint = insr.read();
}
這段代碼能夠正常執行,然而把訪問的url改為https://login.bjut.edu.cn時,程序將拋出異常javax.net.ssl.sslexception,這是由于https://login.bjut.edu.cn站點的安全證書不被jsse所信任。根據jsse簡介中對信任管理器的分析,一種解決這個問題的方法是按照信任管理器的處理規則,把站點的證書放到證書庫文件jssecacerts中,或者把證書存放到任一truststore文件中,然后設置系統屬性javax.net.sll.truststore指向該文件。另一種解決方法則是自己實現信任管理器類,讓它信任我們指定的證書。下面分別介紹這兩種方法。
將證書導入到truststore文件中
java提供了命令行工具keytool用于創建證書或者把證書從其它文件中導入到java自己的truststore文件中。把證書從其它文件導入到truststore文件中的命令行格式為:
keytool -import -file src_cer_file –keystore dest_cer_store
其中,src_cer_file為存有證書信息的源文件名,dest_cer_store為目標truststore文件。
在使用keytool之前,首先要取得源證書文件,這個源文件可使用ie瀏覽器獲得,ie瀏覽器會把訪問過的https站點的證書保存到本地。從ie瀏覽器導出證書的方法是打開“internet 選項”,選擇“內容”選項卡,點擊“證書…”按鈕,在打開的證書對話框中,選中一個證書,然后點擊“導出…”按鈕,按提示一步步將該證書保存到一文件中。最后就可利用keytool把該證書導入到java的truststore文件中。為了能使java程序找到該文件,應該把這個文件復制到jre安裝路徑下的lib/security/目錄中。
這樣,只需在程序中設置系統屬性javax.net.sll.truststore指向文件dest_cer_store,就能使jsse信任該證書,從而使程序可以訪問使用未經驗證的證書的https站點。
使用這種方法,編程非常簡單,但需要手工導出服務器的證書。當服務器證書經常變化時,就需要經常進行手工導出證書的操作。下面介紹的實現x509證書信任管理器類的方法將避免手工導出證書的問題。
x509證書信任管理器類的實現及應用
在jsse中,證書信任管理器類就是實現了接口x509trustmanager的類。我們可以自己實現該接口,讓它信任我們指定的證書。
接口x509trustmanager有下述三個公有的方法需要我們實現:
⑴ oid checkclienttrusted(x509certificate[] chain, string authtype)
throws certificateexception
該方法檢查客戶端的證書,若不信任該證書則拋出異常。由于我們不需要對客戶端進行認證,因此我們只需要執行默認的信任管理器的這個方法。jsse中,默認的信任管理器類為trustmanager。
⑵ oid checkservertrusted(x509certificate[] chain, string authtype)
throws certificateexception
該方法檢查服務器的證書,若不信任該證書同樣拋出異常。通過自己實現該方法,可以使之信任我們指定的任何證書。在實現該方法時,也可以簡單的不做任何處理,即一個空的函數體,由于不會拋出異常,它就會信任任何證書。
⑶ x509certificate[] getacceptedissuers()
返回受信任的x509證書數組。
自己實現了信任管理器類,如何使用呢?類httpsurlconnection似乎并沒有提供方法設置信任管理器。其實,httpsurlconnection通過sslsocket來建立與https的安全連接,sslsocket對象是由sslsocketfactory生成的。httpsurlconnection提供了方法setsslsocketfactory(sslsocketfactory)設置它使用的sslsocketfactory對象。sslsocketfactory通過sslcontext對象來獲得,在初始化sslcontext對象時,可指定信任管理器對象。下面用一個圖簡單表示這幾個jsse類的關系:
圖1 部分jsse類的關系圖
假設自己實現的x509trustmanager類的類名為:myx509trustmanager,下面的代碼片斷說明了如何使用myx509trustmanager:
//創建sslcontext對象,并使用我們指定的信任管理器初始化
trustmanager[] tm = {new myx509trustmanager ()};
sslcontext sslcontext = sslcontext.getinstance("ssl","sunjsse");
sslcontext.init(null, tm, new java.security.securerandom());
//從上述sslcontext對象中得到sslsocketfactory對象
sslsocketfactory ssf = sslcontext.getsocketfactory();
//創建httpsurlconnection對象,并設置其sslsocketfactory對象
httpsurlconnection httpsconn = (httpsurlconnection)myurl.openconnection();
httpsconn.setsslsocketfactory(ssf);
這樣,httpsurlconnection對象就可以正常連接https了,無論其證書是否經權威機構的驗證,只要實現了接口x509trustmanager的類myx509trustmanager信任該證書。
小結
本文主要介紹了在https的證書未經權威機構認證的情況下,訪問https站點的兩種方法,一種方法是把該證書導入到java的truststore文件中,另一種是自己實現并覆蓋jsse缺省的證書信任管理器類。兩種方法各有優缺點,第一種方法不會影響jsse的安全性,但需要手工導入證書;第二種方法雖然不用手工導入證書,但需要小心使用,否則會帶來一些安全隱患。
