我要添加到大型Java应用程序中的模块必须与另一家公司的SSL安全网站进行对话。问题在于该站点使用自签名证书。我有证书的副本以验证我没有遇到中间人攻击,并且我需要将此证书合并到我们的代码中,以确保成功连接到服务器。
这是基本代码:
void sendRequest(String dataPacket) {
String urlStr = "https://host.example.com/";
URL url = new URL(urlStr);
HttpURLConnection conn = (HttpURLConnection)url.openConnection();
conn.setMethod("POST");
conn.setRequestProperty("Content-Length", data.length());
conn.setDoOutput(true);
OutputStreamWriter o = new OutputStreamWriter(conn.getOutputStream());
o.write(data);
o.flush();
}
如果没有对自签名证书进行任何其他处理,它将死于conn.getOutputStream(),但以下情况除外:
Exception in thread "main" javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
....
Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
....
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
理想情况下,我的代码需要教会Java在应用程序中的这一位置接受此一个自签名证书,而在其他任何地方都不能。
我知道我可以将证书导入到JRE的证书颁发机构存储中,这将允许Java接受它。如果可以,那不是我想采取的方法。在我们所有客户的机器上为他们可能不使用的一个模块进行操作似乎非常具有侵入性;它会影响使用同一JRE的所有其他Java应用程序,即使任何其他Java应用程序访问此站点的可能性都为零,我也不喜欢这样做。这也不是简单的操作:在UNIX上,我必须获得访问权限才能以这种方式修改JRE。
我还看到我可以创建一个执行一些自定义检查的TrustManager实例。看来我什至可以创建一个TrustManager,在除此一个证书之外的所有实例中委托给真正的TrustManager。但是,看来TrustManager已在全球安装,并且我认为这会影响应用程序中的所有其他连接,这对我来说也不是很对。
设置Java应用程序以接受自签名证书的首选,标准或最佳方法是什么?我是否可以实现上述所有目标,还是必须做出让步?是否有涉及文件和目录以及配置设置的选项,以及几乎没有代码的选项?