获取Java SSLSocket的受信任的X509证书

Question

我可以建立到https://google.com/的TLS连接。 远程服务返回由3个证书组成的链：

• CN=www.google.com, O=Google Inc, L=Mountain View, ST=California, C=US
• CN=Google Internet Authority G2, O=Google Inc, C=US
• CN=GeoTrust Global CA, O=GeoTrust Inc., C=US

这些证书可以像这样检索：

Certificate[] certificates = sslSocket.getSession().getPeerCertificates();

不幸的是，这还不完整。 我的本地SSL上下文的TrustManager中安装了第四个证书。 看起来像这样：

• OU=Equifax Secure Certificate Authority, O=Equifax, C=US

检索其名称很简单：

String equifax = ((X509Certificate) peerCertificates[2]).getIssuerDN().getName();

我想要的是X509Certificate实例。 如何获得在SSLSocket握手期间使用的受信任CA证书？

请注意，我通过创建SSL上下文来使用系统的TrustManager ：

SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, null, null);

Answer 1

您快到了，只需使用JVM默认信任管理器：

public static void main(String[] args) throws Exception{

    SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory.getDefault();
    SSLSocket socket = (SSLSocket)factory.createSocket("www.google.com", 443);

    X509Certificate[] chain = socket.getSession().getPeerCertificateChain();

    String equifax = chain[2].getIssuerDN().getName();

    // JVM Default Trust Managers
    TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    trustManagerFactory.init((KeyStore) null);
    TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();

    X509TrustManager manager = (X509TrustManager) trustManagers[0];

    for (java.security.cert.X509Certificate x509Certificate : manager.getAcceptedIssuers()) {
        if (equifax.equals(x509Certificate.getSubjectDN().getName())) {
            System.out.println(x509Certificate);
        }
    }

}

Answer 2

出于永久性，我最终通过肮脏的反思获得了我想要的数据。 如上所述，我无法控制调用方如何构建SSL上下文。