Использование RESTful-сервиса через https с помощью certficate с использованием Java
Я новый пользователь для служб REST. Мне нужно использовать сервис API RESTful, созданный с помощью Джерси. Проблема возникает из-за того, что эта служба размещается на удаленном хосте, и для ее доступа требуется https-доступ с сертификатом.
Я получил свой сертификат от организации, и я могу получить доступ к этой службе REST API с любым из моих браузеров (с установленным сертификатом на них).
Я прочитал много сообщений здесь, и я последовал за ответом на эту тему:
Использование HTTPS с REST в Java
Теперь у меня установлена моя настройка сертификата на моем Java Keystore. Но я не знаю, как использовать это в моей программе Java, поэтому он использует именно тот сертификат, который мне нужен для подключения https.
Это мой простой код подключения для локальных тестов.
package rest.test.first;
import java.net.URI;
import javax.ws.rs.core.MediaType;
import javax.ws.rs.core.UriBuilder;
import com.sun.jersey.api.client.Client;
import com.sun.jersey.api.client.ClientResponse;
import com.sun.jersey.api.client.WebResource;
import com.sun.jersey.api.client.config.ClientConfig;
import com.sun.jersey.api.client.config.DefaultClientConfig;
public class TestClient{
public static void main(String[]args){
ClientConfig config= new DefaultClientConfig();
Client client=Client.create(config);
WebResource service=client.resource(getBaseURI());
//Fluentinterfaces
System.out.println(service.path("rest").path("hello").accept(MediaType.TEXT_PLAIN).get(ClientResponse.class).toString());
//Getplaintext
System.out.println(service.path("rest").path("hello").accept(MediaType.TEXT_PLAIN).get(String.class));
//GetXML
System.out.println(service.path("rest").path("hello").accept(MediaType.TEXT_XML).get(String.class));
//TheHTML
System.out.println(service.path("rest").path("hello").accept(MediaType.TEXT_HTML).get(String.class));
}
private static URI getBaseURI(){
return UriBuilder.fromUri("http://localhost:8080/rest.test").build();
}
}
Я прочитал об использовании свойств системного набора, чтобы указать путь к хранилищу ключей с помощью этого кода:
System.setProperty("javax.net.ssl.keyStore", "/path/to/keystore.jks");
System.setProperty("javax.net.ssl.keyStorePassword", "password");
Я все еще получаю ошибку 401 при подключении к удаленному серверу.
Но тогда я не знаю, как сделать SSL-соединение, используя мой сертификат в хранилище ключей.
Я также читал об использовании sslSocketFactory для этой цели, но я не мог заставить его работать, как описано в этом сообщении: Как я могу использовать разные сертификаты для определенных подключений?
Мне удалось получить свой сертификат из хранилища ключей с помощью этого кода. Теперь мне просто нужно знать, как его использовать в связи:
package rest.test.first;
import java.io.FileInputStream;
import java.security.KeyStore;
import java.security.cert.Certificate;
public class keystore {
public static void main(String[] args) throws Exception {
String keystoreFilename = "/usr/lib/jvm/jdk1.6.0_32/jre/lib/security/cacerts";
char[] password = "changeit".toCharArray();
String alias = "remote_https_server";
FileInputStream fIn = new FileInputStream(keystoreFilename);
KeyStore keystore = KeyStore.getInstance("JKS");
keystore.load(fIn, password);
Certificate cert = keystore.getCertificate(alias);
System.out.println(cert);
}
}
Хорошо, что последний script я написал. Я могу подключиться к https-сайтам, но я до сих пор не могу подключиться к https-сайтам, которые требуют отправки моего сертификата для аутентификации.
package rest.test.first;
import java.io.*;
import java.net.*;
import java.security.*;
import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;
public class urlConnection{
public static void main(String args[]) throws Exception {
System.setProperty("javax.net.ssl.trustStore", "/usr/lib/jvm/jdk1.6.0_32/jre/lib/security/cacerts");
System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
Security.addProvider(new com.sun.net.ssl.internal.ssl.Provider());
//TrustStore..
char[] passphrase = "changeit".toCharArray(); //password
KeyStore keystore = KeyStore.getInstance("JKS");
//KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keystore.load(new FileInputStream("/usr/lib/jvm/jdk1.6.0_32/jre/lib/security/cacerts"), passphrase); //path
//TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509"); //instance
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(keystore);
SSLContext context = SSLContext.getInstance("TLS");
TrustManager[] trustManagers = tmf.getTrustManagers();
context.init(null, trustManagers, null);
SSLSocketFactory sf = context.getSocketFactory();
URL url = new URL("https://www.google.es");
HttpsURLConnection httpsCon = (HttpsURLConnection) url.openConnection();
httpsCon.setSSLSocketFactory(sf);
httpsCon.setRequestMethod("GET");
/*InputStream inStrm = httpsCon.getInputStream();
System.out.println("\nContent at " + url);
int ch;
while (((ch = inStrm.read()) != -1)){
System.out.print((char) ch);
inStrm.close();
}*/
System.out.println("Response Message is " + httpsCon.getResponseMessage());
}
}
Ответы
Ответ 1
Предполагая, что вы развертываете этот код на сервере, и вы сделали все остальное правильно (например, правильно создайте ядро хранилища ключей и разместите его в том месте, где его можно получить на сервере, используя ту же версию java, что и ваш код для генерации хранилище ключей), то я думаю, что вам нужно сделать следующее:
<Connector SSLEnabled="true" clientAuth="false" keystoreFile="pathToKeystore" keystorePass="password" maxThreads="150" port="443" protocol="HTTP/1.1" scheme="https" secure="true" sslProtocol="TLS"/>
в server.xml экземпляра вашего сервера, на котором вы работаете с клиентом, и
<Connector connectionTimeout="20000" port="80" protocol="HTTP/1.1" redirectPort="8443"/>
IMP: Если вы используете Skype рядом с этим кодом, обязательно (снимите галочку), измените значение по умолчанию, поскольку оно также использует те же порты (80 и 443) для дополнительных подключений
