連接時Java1.7 TLS1.2實現是否考慮了dNSName(SAN擴展)?
[英]Does Java1.7 TLS1.2 implementation take dNSName (SAN extension) into account when connecting?
問題描述
我正在實現一個協議,該協議將TLS1.2指定為傳輸層,並且需要客戶端服務器身份驗證,通過將連接客戶端套接字的主機名值與其證書中服務器指示的值(即subjectAltName擴展名)進行比較,以驗證服務器的主機名的類型為dNSName 。
我創建了一個測試,將該值放入服務器的證書中,客戶端似乎完全忽略了它,但是我想確定一下。 我是否必須在X509ExtendedTrustManager.checkServerTrusted(X509Certificate[], String, Socket)的實現中編寫此檢查的代碼X509ExtendedTrustManager.checkServerTrusted(X509Certificate[], String, Socket)還是可以通過一些晦澀的屬性來啟用它? 參考指南對此問題保持沉默。
協議規范(我正在實現的規范)還提到通配符可以用作證書中值的前綴。
“ *”通配符可以用作證書中最左邊的名稱部分。 例如,*。example.com將匹配a.example.com,foo.example.com等,但不匹配example.com。
但是,當我嘗試使用keytool創建這樣的擴展值時,它拒絕這樣做。 這是怎么回事?
“ C:\\ Program Files \\ Java \\ jdk1.7.0_51 \\ bin \\ keytool.exe” -genkeypair-別名服務器-keyalg RSA -validity 365 -ext san = dns:*。example.com -keystore mykeystore ...
keytool錯誤:java.lang.RuntimeException:java.io.IOException:DNSName組件必須以字母開頭
2 個解決方案
解決方案1
2 已采納 2014-09-03 08:22:05
Java 7提供了一種在SSLSocket或SSLEngine上自動驗證主機名的方法,但是不會自動啟用它(Java 6中不存在)。 該實現可以使用LDAP或HTTPS的命名規范,而不是更通用的RFC 6125(至少現在還沒有)。 在大多數情況下,對於其他協議,使用HTTPS規范的這一部分應該很好,當然總比沒有好。
您可以如下使用它:
SSLParameters sslParams = new SSLParameters();
sslParams.setEndpointIdentificationAlgorithm("HTTPS");
sslSocket.setSSLParameters(sslParams); // or SSLEngine
您可以找到以下參考:
- 在
SSLParameters.setEndpointIdentificationAlgorithm(...)文檔中, - 通過在《 JSSE參考指南 》中搜索“端點標識”,
- 在
X509ExtendedTrustManager上的JSSE參考指南部分中 (“ X509ExtendedTrustManager類還支持算法約束和SSL層主機名驗證 ”), - 通過向下滾動到Java™密碼體系結構的“ 標准名稱”部分中的最后一個表。 標准算法名稱文檔
您遇到的第二個問題似乎是keytool的問題,無法生成這樣的證書。 這不會影響如何驗證提供給Java客戶端的此類證書。 如有必要,您可以使用其他工具來生成帶有通配符的證書。
編輯:
請注意,要使此方法起作用,您需要使用使用String host (這樣才能知道主機名)的方法或使用SSLContext.createSSLEngine(String peerHost, int peerPort)的SSLEngine來創建SSLSocket 。 這樣便可以知道要在證書中嘗試匹配的主機名。 (對於SNI,使用名稱也很有用。)
解決方案2
1 2014-09-02 23:55:43
主機名驗證參考指南:
使用原始SSLSocket和SSLEngine類時,應始終在發送任何數據之前檢查對等方的憑據。 SSLSocket和SSLEngine類不會自動驗證URL中的主機名是否與對等方憑據中的主機名匹配。 如果未驗證主機名,則可以通過URL欺騙利用應用程序。
因此,您必須手動執行此操作。 從概念上講,此任務不是TrustManager職責的一部分; 建立連接后,最好通過檢查對等證書來完成此操作。
奇怪的是,沒有公共的API可以做到這一點。 如果您不介意依賴sun.*包,則可以使用sun.security.util.HostnameChecker.match(String expectedName, X509Certificate cert) 。
我也在研究相關問題,幾天后我將發布我的API。
通配符證書-我剛剛向jdk開發人員提出了同樣的問題,等待回應-http: //mail.openjdk.java.net/pipermail/security-dev/2014-September/011153.html
連接到“https://api.twilio.com:8443/”正在使用 Java1.8,但不能通過 TLSv1.2 使用 Java1.7
[英]Connecting to "https://api.twilio.com:8443/" is working with Java1.8 but not with Java1.7 via TLSv1.2
Java 1.6 + BouncyCastle + TLS1.2 (handshake_failure(40))
[英]Java 1.6 + BouncyCastle + TLS1.2 (handshake_failure(40))
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
TLS1.2 支持 Java 6
連接到“https://api.twilio.com:8443/”正在使用 Java1.8,但不能通過 TLSv1.2 使用 Java1.7
如何在Java中設置TLS1.2版本
將parseUnsignedInt移植到java1.7
Java 1.6 + BouncyCastle + TLS1.2 (handshake_failure(40))
.Net客戶端-使用tls1.2的Java服務器連接問題
在Java中創建與HTTP服務器的TLS1.2連接
Jboss 6.x是否支持TLS1.2?
Java 1.8.0 在 JDBC 連接中啟用 TLS1.2
在weblogic 10.3.6中啟用TLS1.2的影響
相關標簽