java trustmanager_java – 如何使用多个信任源初始化TrustManagerFactory?

最新推荐文章于 2025-04-28 16:07:48 发布
原创 最新推荐文章于 2025-04-28 16:07:48 发布 · 2.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java trustmanager

本文探讨了在Java应用程序中如何同时使用自定义密钥库和默认JRE根CA证书来建立安全连接。问题在于,自定义TrustManager覆盖了默认的信任源,导致连接到如google.com等公共站点时出现证书验证失败。为解决这个问题,提出了实现自定义X509TrustManager,该管理器能够检查服务器证书,包括默认信任管理器和自定义密钥库中的证书。通过这种方式,可以在保持对本地自签名证书信任的同时,也能正确验证公共站点的证书。

我的应用程序有一个个人密钥库,其中包含可在本地网络中使用的可信自签名证书 – 例如mykeystore.jks.我希望能够使用已在本地配置的自签名证书连接到公共站点(例如google.com)以及本地网络中的站点.

这里的问题是,当我连接到https://google.com时,路径构建失败,因为设置我自己的密钥库会覆盖包含与JRE捆绑的根CA的默认密钥库,报告异常

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

但是,如果我将CA证书导入我自己的密钥库(mykeystore.jks),它可以正常工作.有没有办法支持两者?

我有自己的TrustManger用于此目的,

public class CustomX509TrustManager implements X509TrustManager {

X509TrustManager defaultTrustManager;

public MyX509TrustManager(KeyStore keystore) {

TrustManagerFactory trustMgrFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());

trustMgrFactory.init(keystore);

TrustManager trustManagers[] = trustMgrFactory.getTrustManagers();

for (int i = 0; i < trustManagers.length; i++) {

if (trustManagers[i] instanceof X509TrustManager) {

defaultTrustManager = (X509TrustManager) trustManagers[i];

return;

}

}

public void checkServerTrusted(X509Certificate[] chain, String authType)

throws CertificateException {

try {

defaultTrustManager.checkServerTrusted(chain, authType);

} catch (CertificateException ce) {

/* Handle untrusted certificates */

}

}

}

然后我初始化SSLContext,

TrustManager[] trustManagers =

new TrustManager[] { new CustomX509TrustManager(keystore) };

SSLContext customSSLContext =

SSLContext.getInstance("TLS");

customSSLContext.init(null, trustManagers, null);

并设置套接字工厂,

HttpsURLConnection.setDefaultSSLSocketFactory(customSSLContext.getSocketFactory());

主程序,

URL targetServer = new URL(url);

HttpsURLConnection conn = (HttpsURLConnection) targetServer.openConnection();

如果我没有设置自己的信任管理器,它就连接到https://google.com就好了.如何获得指向默认密钥库的“默认信任管理器”?

非流
关注
项管让你在项目上以HTTPS协议访问,你能说你不会配吗?
关注我!带你一路 "狂飙" 到底!
04-11 1162
今天小岳会先带大家了解HTTPS协议,然后再带大家了解如何在项目上配置HTTPS协议访问。下次领导再交给你这个任务之后,你就可以自信的回答:“没问题”!
Java信任自定义ca,自建CA证书,java实现通过OkHttpClient发送https(验证ca证书)请求
weixin_36047554的博客
03-11 892
import okhttp3.Call;import okhttp3.OkHttpClient;import okhttp3.Request;import okhttp3.Response;import javax.net.ssl.*;import java.io.FileInputStream;import java.io.IOException;import java.security.*;i...
android 使用crt/cer/pem格式的公钥证书
fangqiangqi的博客
06-12 7662
问题:android在网络各种教程里面,都是只有BKS的格式,但是一般后端给我们的公钥证书都是crt/cer/pem格式的,这种时候,常用的做法就是用keytools转换成bks格式。 个人感觉,这种做法很low,一眼就能让别人感觉你完全不懂证书 其实我们常用的证书就2大种: 16进制的 16进制进行base64编码后(这种尤其常用),添加 ----BEGIN CERTIFICATE...
基础篇:java
2401_83916435的博客
04-12 978
签名一般是指用非对称加密算法的私钥来加密明文的过程,生成的密文可以被持有公钥的人识别解密,只要你的公钥是准确对应无误的,就能保证你解密的数据是来自持有私钥的一方。MessageDigest支持的算法:MD2、MD5、SHA-1、SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256。支持算法:AES、AESWrap、ARCFOUR、Blowfish、DES、DESede、DESedeWrap、ECIES、RSA(太多了,选择列举几个)
Java 网络编程 —— 安全网络通信
Innocence_0的博客
02-23 1430
SSL(Secure Socket Layer,安全套接字层)是一种保证网络上的两个节点进行安全通信的协议。Task Force)国际组织对 SSL 作了标准化,制定了 RFC2246 规范,并将其称为传输层安全(Transport LayerSSL 和 TLS 都建立在 TCP/IP 的基础上,一些应用层协议,如 HTTP 和 IMAP,都可以采用 SSL 来保证安全通信。建立在 SSL协议上的 HTTP 被称为 HTTPS 协议。
java trustmanager_在java使用自定义信任库以及默认信任
weixin_42135073的博客
02-24 1980
你可以使用一个类似的模式,我在之前的回答中提到(针对不同的问题)。从本质上讲,掌握默认的信任pipe理器,创build第二个使用自己的信任存储的信任pipe理器。 将它们都包装在委托调用两者的自定义信任pipe理器实现中(当一个失败的时候再次落在另一个实例上)。TrustManagerFactory tmf = TrustManagerFactory .getInstance(TrustManag...
java trustmanager_过期证书上的Java trustmanager行为
weixin_39701861的博客
02-13 362
如果证书已过期,javaTrustManager实现是否会被忽略?我尝试了以下方法:使用 keytool 和参数 -startdate "1970/01/01 00:00:00" 我创建了一个带有过期证书的P12密钥库 .我出口证书:Keystore type: PKCS12Keystore provider: SunJSSEYour keystore contains 1 entryAlias...
Java-TLS-Connection:使用 Java 通过 TLS 连接到 IP 地址(需要正确的证书、IP 和端口号)
06-08
Java编程环境中,TLS(Transport...总之,Java通过TLS连接到IP地址涉及证书管理、SSL上下文创建和Socket连接的建立等多个环节。理解这些概念并能正确配置,对于任何进行安全网络通信的Java开发者来说都是至关重要的。
Java进阶(三)Java安全通信:HTTPS与SSL_sslcontext
2401_84411822的博客
04-28 1122
>Connector元素本身,其默认形式是被注释掉的(commented out),所以需要把它周围的注释标志删除掉。然后,可以根据需要客户化(自己设置)特定的属性。一般需要增加一下keystoreFile和keystorePass两个属性,指定你存放证书的路径(如:keystoreFile=“C:/.keystore”)和刚才设置的密码(如:keystorePass=“123456”)。关于其它各种选项的详细信息,可查阅Server Configuration Reference。
使用Java执行mTLS调用
i6588662的博客
03-04 1296
在本教程中,我们将学习如何通过使用不同的客户端使我们的Java应用程序能够使用mTLS。我们将使用将mTLS添加到Nginx实例的现有示例。 假设我们有一个Nginx实例,使用SSL还有。如果使用Java使用mTLS保护的服务进行交互,则需要对代码库进行一些更改。在本教程中,我们将使Java应用程序能够使用不同客户端的mTLS。 要快速入门,我们可以使用现有的示例添加MTLS一个Nginx实例。我们的java mTLS配置将使用用于将mTLS添加到Nginx的证书和密钥。 为了为我们的Java客户端
package com.example.kucun2.function; import android.content.Context; import android.util.Log; import java.io.InputStream; import java.security.KeyStore; import java.security.cert.Certificate; import java.security.cert.CertificateFactory; import java.security.cert.X509Certificate; import javax.net.ssl.SSLContext; import javax.net.ssl.TrustManager; import javax.net.ssl.TrustManagerFactory; import javax.net.ssl.X509TrustManager; import okhttp3.OkHttpClient; public class TLSUtils { private static final String TAG = "TLSUtils"; private static final String CERT_TYPE = "X.509"; private static final String SSL_PROTOCOL = "TLSv1.2"; /** * 创建安全客户端(支持动态证书名) * @param context 应用上下文 * @param certAssetName assets目录中的证书文件名 * @return 配置好的OkHttpClient */ public static OkHttpClient createSecureClient(Context context, String certAssetName) { try { // 创建自定义信任管理器 X509TrustManager trustManager = createTrustManager(context, certAssetName); // 初始化SSL上下文 SSLContext sslContext = SSLContext.getInstance(SSL_PROTOCOL); sslContext.init(null, new TrustManager[]{trustManager}, null); return new OkHttpClient.Builder() .sslSocketFactory(sslContext.getSocketFactory(), trustManager) .hostnameVerifier((hostname, session) -> { // 安全的主机名验证(仅允许特定IP) return "192.168.1.123".equals(hostname); }) .build(); } catch (Exception e) { Log.e(TAG, "创建安全客户端失败", e); throw new RuntimeException("TLS初始化异常", e); } } /** * 创建信任管理器 * @param context 应用上下文 * @param certAssetName 证书文件名 * @return 自定义信任管理器 */ private static X509TrustManager createTrustManager(Context context, String certAssetName) throws Exception { // 使用try-with-resources确保流关闭 try (InputStream certStream = context.getAssets().open(certAssetName)) { CertificateFactory cf = CertificateFactory.getInstance(CERT_TYPE); Certificate cert = cf.generateCertificate(certStream); // 创建包含证书的KeyStore KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType()); keyStore.load(null); keyStore.setCertificateEntry("changeit", cert); // 初始化TrustManagerFactory TrustManagerFactory tmf = TrustManagerFactory.getInstance( TrustManagerFactory.getDefaultAlgorithm() ); tmf.init(keyStore); // 获取并返回X509TrustManager for (TrustManager tm : tmf.getTrustManagers()) { if (tm instanceof X509TrustManager) { return (X509TrustManager) tm; } } throw new IllegalStateException("未找到X509TrustManager"); } } } 详细注解
最新发布
06-28
// 初始化SSL上下文:使用自定义信任管理器 sslContext.init(null, new TrustManager[]{trustManager}, null); // 步骤3:构建OkHttpClient并配置安全参数 return new OkHttpClient.Builder() // 设置自定义的...
java trustmanager,TrustManager加载默认的JRE信任证书
weixin_32337913的博客
03-13 985
Essentially, get hold of the default trust manager, create a second trust manager that uses your own trust store. Wrap them both in a custom trust manager implementation that delegates call to both (f...
java trustmanager,当TrustManagerFactory不是TrustManagerFactoryJava)时
weixin_33364018的博客
02-24 1340
I am trying to add some additional JUnit test to an existing App-Server (TomCat) product. I have run into an issue with the (existing and fielded) custom TrustManager. This thing works fine in product...
Java 设置信任所有的SSL证书(完美解决PKIX path building failed问题)
Futile的博客
12-27 8686
Java 设置信任所有的SSL证书简介解决方案 简介 在一次使用Java进行网络通信的时候,出现了请求失败的问题,然后发现报错如下: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to req...
Java 信任所有SSL证书(解决PKIX path building failed问题)
Cc_Rain
10-11 1016
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.ssl.Alert
java hostnameverifier_javajndi LDAPS自定义HostnameVerifier和TrustManager
weixin_42511098的博客
02-26 299
对于其他人有同样的问题:我找到了一个非常难看的解决方案:import javax.net.SocketFactory;public abstract class ThreadLocalSocketFactoryextends SocketFactory{static ThreadLocal local = new ThreadLocal();public static SocketFactory ...
【漏洞修复】自定义实现的X509TrustManager子类中..
技术的学习与积累是个技术活
07-27 1万+
漏洞说明 /** * 覆盖java默认的证书验证 */ private static final TrustManager[] TRUSTALLCERTS = new TrustManager[]{ new X509TrustManager() { public java.security.cert.X509Certificate[] getAcceptedIssuers() { r
如何创建一个信任所有证书的`TrustManager`
foundbug999的博客
04-28 821
需要注意的是,这种信任所有证书的方式在生产环境中是非常不安全的,因为它可能会使应用程序容易受到中间人攻击等安全威胁。// 使用信任所有证书的TrustManager初始化SSLContext。// 将默认的SSLContext设置为我们创建的SSLContext。// 返回接受的颁发者证书链,这里返回null表示信任所有颁发者。// 创建一个信任所有证书的TrustManager。// 检查客户端证书,这里不进行任何检查,直接空实现。// 检查服务器证书,这里不进行任何检查,直接空实现。
X509TrustManager信任SSL证书
热门推荐
LI_AINY的博客
07-02 3万+
做个笔记 private Discovery getTrustDiscovery() throws KeyManagementException, NoSuchAlgorithmException, NoSuchProviderException, IOException { // 对用户提供的标识符执行发现 Discovery dd = new Discovery(); // ...
SSLContext Kickstart:简化SSL/TLS配置的Java
SSLContext是Java中的一个类,负责管理SSL/TLS协议的初始化和配置。它包含用于建立加密通信的KeyManager和TrustManager。SSLContext是实现SSL/TLS通信所必需的。 #### 3. 单向身份验证与双向身份验证 - 单向身份...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值