如何在Java Sun HttpsServer中使用LetsEncrypt证书？

Question

使用大量Google搜索的各种结果，我设法制作了一个Java类，可以处理从LetsEncrypt下载证书的过程，非常简洁。 （如果有兴趣，请点击此处 ）

这样我就可以在文件夹中获取此内容作为输出：

chain.crt
domain.crt
domain.csr
domain.key
user.key

我一直在使用带有自签名证书的com.sun.net.httpserver.HttpsServer，我遵循一些指南进行生成，该指南为我提供了一个.jks文件，该文件在使用测试客户端之前一直有效。 但是现在我需要浏览器在不给出验证错误的情况下接受证书，因此我想在此HttpsServer中使用从LetsEncrypt下载的证书，但是我不知道该怎么做。 我已经用谷歌搜索了一下，但是没有找到任何对我有用的东西，尽管我不得不承认我并不真正了解我在这里所做的大部分事情，而且我什至都不知道我应该尝试使用上面的5个文件。

我当前的代码使用一个现有的生成的.jks文件设置我的HttpsServer：（也可以在此处获得 ）

  public void initHttpsServer(int port, String certificateFilePath, String sslPassword)
  {
    try
    {
      this.server = HttpsServer.create(new InetSocketAddress(port), 0);
      SSLContext sslContext = SSLContext.getInstance("TLS");
      char[] password = sslPassword.toCharArray();
      KeyStore ks = KeyStore.getInstance("JKS");
      FileInputStream fis = new FileInputStream(certificateFilePath);
      ks.load(fis, password);
      KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
      kmf.init(ks, password);
      TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
      tmf.init(ks);
      sslContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
      this.server.setHttpsConfigurator(new HttpsConfigurator(sslContext)
      {
        @Override
        public void configure(HttpsParameters params)
        {
          try
          {
            SSLContext c = SSLContext.getDefault();
            SSLEngine engine = c.createSSLEngine();
            params.setNeedClientAuth(false);
            params.setCipherSuites(engine.getEnabledCipherSuites());
            params.setProtocols(engine.getEnabledProtocols());
            SSLParameters defaultSSLParameters = c.getDefaultSSLParameters();
            params.setSSLParameters(defaultSSLParameters);
          }

在寻找解决方案时，我遇到了一些答案，其中包括从cmd运行命令以生成不同种类的文件。 我需要所有这些在运行时中正常工作，因此以编程方式进行操作是首选。

我还有一个相关的问题，当旧的LetsEncrypt证书到期并且我已经下载了新的证书时，是否可以将正在运行的HttpsServer实例更新为使用新下载的证书，还是必须重新启动服务器？

非常感谢在弄清楚如何进行此工作方面的任何帮助。

Answer 1

另外：将这个JKS文件称为'certificateFile'具有误导性； JKS（或诸如PKCS12之类的其他密钥库）通常包含多个证书，但通常也包括这种情况，并且至关重要地包括私钥。

通常最困难的部分是读取密钥文件，并且由于您使用的是acme4j，因此它会为您处理。 由于缺乏基础架构，因此未经过测试，但是请执行以下操作：

KeyPair kp = KeyPairUtils.readKeyPair (new FileReader ("domain.key"));
// add error handling and close much like your getOrCreateKeyPair 
CertificateFactory cf = CertificateFactory.getInstance ("X.509");
Certificate cert0 = cf.generateCertificate (new FileInputStream ("domain.crt"));
Certificate cert1 = cf.generateCertificate (new FileInputStream ("chain.crt"));
// add similar error handling and close

KeyStore ks = KeyStore.getInstance ("jks"); // type doesn't really matter since it's in memory only
ks.load (null); 
ks.setKeyEntry ("anyalias", kp.getPrivate(), password, new Certificate[]{cert0,cert1});

// now create a KMF and KeyManager from this KeyStore,
// optionally a TMF and TrustManager, then SSLContext etc as in your existing code

我不知道Sun HttpsServer在运行时是否可以更改KeyManager数据。 如果以后有时间，我会尝试看看。 但是很明显，您需要先开始才能进行更改，这是一个问题:-)