Java和SSL证书

Question

我正尝试使用安全套接字层（HTTPS）与Java中的PHP脚本建立连接，但我已经发现为确保最大的安全性/有效性，我必须导入SSL证书我的网站用于我的应用程序...我不知道该怎么做。

如果有帮助，我的SSL证书不是自签名的，而是由StartSSL提供的，我正在使用Eclipse IDE。

有人能指出我正确的方向吗？即我需要什么文件，我应该在哪里导入它们，以及在Java中需要什么代码等等？

Answer 1

我发现，要保证最大信号的安全性/有效性我要导入我的网站使用SSL证书到我的应用程序

你是正确的部分，当你作出这样的声明。您不需要导入您的SSL证书。导入StartSSL CA证书就足够了。

此外，没有将证书导入到Java应用程序中。 Java中的SSL支持依赖于密钥库和信任库的概念，而不是在应用程序中打包的某些证书​​上。如果您要发布应用程序以供最终用户下载和执行，则不需要在应用程序中发布您的证书或私钥。私钥和相关证书将存储在密钥库中，只有您可以访问。

您的应用程序的最终用户将依赖于Java运行时的SSL支持，这将允许应用程序在验证服务器证书后建立到站点的SSL连接。 Java运行时会在信任库中附带一组默认的CA证书，并且SSL连接成功建立的唯一先决条件是服务器的SSL证书由信任库中的一个CA颁发。 startssl如果的证书不存在于Java运行时的信任，至少为6个版本，因此：

• 你可以指导你的最终用户执行导入startssl如果CA证书的活动到Java信任库中。可能有帮助的链接包括this StartSSL forum thread（仅需要将前面4个步骤导入CA信任库到信任库），a GitHub project和this blog post;一个免责声明 - 我没有尝试使用任何这些，你应该使用它，风险自负。

• 或者，你可以使用-Djavax.net.ssl.trustStore=<path_to_truststore> -Djavax.net.ssl.trustStorePassword=<truststore_password> JVM启动标志用自己的信任初始化应用程序，或初始化SSL连接之前执行以下代码：

  System.setProperty("javax.net.ssl.trustStore","<path_to_truststore>"); 
  System.setProperty("javax.net.ssl.trustStorePassword","<truststore_password>"); 
  

  这是唯一的，如果你的应用程序是一个可行的方法Java SE应用程序不会碰巧是一个小程序（或者对指定信任库的方式有类似限制的应用程序）。

---

这也将有助于阅读了Java keytool documentation。

Answer 2

看看下面的文章：http://stilius.net/java/java_ssl.php 它包含代码示例，这可能有助于在您尝试从代码访问您的脚本的情况下。

需要注意的是，你要么应该使用系统属性

javax.net.ssl.keyStore 
javax.net.ssl.keyStorePassword 

使用keytool工具SSL证书传递到JVM或将其导入到JRE密钥库

Answer 3

我发现，要保证最大信号安全/有效期我必须 导入SSL证书

不，你没有。如果您的客户尚未信任服务器证书的签署人，则只需要执行此步骤，这仅在服务器证书是自签名或签名的情况下才会产生。由内部CA.

Answer 4

以下方法加载默认（cacerts）密钥库，检查是否安装了证书，如果没有，则安装它。它消除了在任何服务器上手动运行keystore命令的需要。

它假设默认密钥库密码（changeit）未更改，如果不是，则更新CACERTS_PASSWORD。请注意，该方法在添加证书后保存密钥库，因此在证书永久存储在商店后运行后。

import java.io.File; 
import java.io.FileInputStream; 
import java.io.FileNotFoundException; 
import java.io.FileOutputStream; 
import java.io.IOException; 
import java.io.InputStream; 
import java.net.MalformedURLException; 
import java.net.URL; 
import java.security.KeyStore; 
import java.security.KeyStoreException; 
import java.security.NoSuchAlgorithmException; 
import java.security.cert.Certificate; 
import java.security.cert.CertificateException; 
import java.security.cert.CertificateFactory; 

/** 
* Add a certificate to the cacerts keystore if it's not already included 
*/ 
public class SslUtil { 
    private static final String CACERTS_PATH = "/lib/security/cacerts"; 

    // NOTE: DO NOT STORE PASSWORDS IN PLAIN TEXT CODE, LOAD AT RUNTIME FROM A SECURE CONFIG 
    // DEFAULT CACERTS PASSWORD IS PROVIDED HERE AS A QUICK, NOT-FOR-PRODUCTION WORKING EXAMPLE 
    // ALSO, CHANGE THE DEFAULT CACERTS PASSWORD, AS IT IMPLORES YOU TO! 
    private static final String CACERTS_PASSWORD = "changeit"; 

    /** 
    * Add a certificate to the cacerts keystore if it's not already included 
    * 
    * @param alias The alias for the certificate, if added 
    * @param certInputStream The certificate input stream 
    * @throws KeyStoreException 
    * @throws NoSuchAlgorithmException 
    * @throws CertificateException 
    * @throws IOException 
    */ 
    public static void ensureSslCertIsInKeystore(String alias, InputStream certInputStream) 
      throws KeyStoreException, NoSuchAlgorithmException, CertificateException, IOException{ 
     //get default cacerts file 
     final File cacertsFile = new File(System.getProperty("java.home") + CACERTS_PATH); 
     if (!cacertsFile.exists()) { 
      throw new FileNotFoundException(cacertsFile.getAbsolutePath()); 
     } 

     //load cacerts keystore 
     FileInputStream cacertsIs = new FileInputStream(cacertsFile); 
     final KeyStore cacerts = KeyStore.getInstance(KeyStore.getDefaultType()); 
     cacerts.load(cacertsIs, CACERTS_PASSWORD.toCharArray()); 
     cacertsIs.close(); 

     //load certificate from input stream 
     final CertificateFactory cf = CertificateFactory.getInstance("X.509"); 
     final Certificate cert = cf.generateCertificate(certInputStream); 
     certInputStream.close(); 

     //check if cacerts contains the certificate 
     if (cacerts.getCertificateAlias(cert) == null) { 
      //cacerts doesn't contain the certificate, add it 
      cacerts.setCertificateEntry(alias, cert); 
      //write the updated cacerts keystore 
      FileOutputStream cacertsOs = new FileOutputStream(cacertsFile); 
      cacerts.store(cacertsOs, CACERTS_PASSWORD.toCharArray()); 
      cacertsOs.close(); 
     } 
    } 
} 

使用它，像这样：

SslUtil.ensureSslCertIsInKeystore("startssl", new FileInputStream("/path/to/cert.crt")); 

Answer 5

显然，由于某种原因，mailgun工程师不希望给我们如何解决这个明确的指示。这就是我所做的

我们运行tomcat8并通过球衣web服务连接到mailgun API。我遵循这个用户指示，它工作正常。希望这可以帮助某人。

1/22，由于赛门铁克的PKI基础设施设置为不可信，我们更新了SSL证书。某些旧版本的Java没有“DigiCert Global Root G2”CA.

有几种选择：

导入 “DigiCert全局根G2” CA到您 “的cacerts” 文件。 将您的JRE升级到8u91（或更高版本），其中包含此根目录。 要导入“DigiCert Global Root G2”您可以从https://www.digicert.com/digicert-root-certificates.htm下载根目录。确保您正在下载正确的根证书。

一旦证书下载后，您需要将它与类似如下的命令导入：

的keytool -import -keystore -trustcacerts /路径/到/ cacerts的-storepass的changeit -noprompt -alias digicert -global-root -g2 -file /path/to/digicert.crt 您需要设置Java密钥库的路径以及下载的根证书的位置。

---

所以 1. /path/to/digicert.crt是您刚刚下载的文件。 2。/ path/to/cacerts - 这是你的JRE路径。我找到/ -name cacerts -print“这将帮助您快速找到文件系统上的所有java cacerts。对我来说，它是/ usr/lib/jvm/java-7 -openjdk-amd64/jre/lib/security/cacerts