Настройка Netty с 2-way SSL Handsake (сертификат клиента и сервера)

Question

Настройка Netty с 2-way SSL Handsake (сертификат клиента и сервера)

теперь я пытаюсь настроить Netty с 2-х сторонним SSL-рукопожатием, где и клиент, и сервер присутствуют и проверяют сертификаты.

Это не будет реализовано в SslHandler. Кто-нибудь это делал? Я полагаю, что он пойдет в SslHandler.рукопожатие операции и быть делегирован на javax.чистая.протокол SSL.Sslengineна?

любые подсказки/советы / существующие реализации?

спасибо!

ответ (stackoverflow не позволит мне опубликовать его нормальный способ) я обнаружил, что если я установил флаг needClientAuth на объекте SSLEngine перед настройкой моего SslHandler, это решает проблему!

12

handshake netty ssl

автор: MeowCode

3 ответов

автор: MeowCode · Accepted Answer · 2012-03-06 18:31:49

вот решение, основанное на примере сервера HttpSnoop из проекта netty.

при настройке конвейера на стороне клиента механизм ssl должен быть установлен следующим образом:

public ChannelPipeline getPipeline() throws Exception {
    // Create a default pipeline implementation.
    ChannelPipeline pipeline = pipeline();

    // Uncomment the following line if you want HTTPS
    SSLEngine engine = SecureChatSslContextFactory.getServerContext().createSSLEngine();
    engine.setUseClientMode(false);
    engine.setNeedClientAuth(true);
    pipeline.addLast("ssl", new SslHandler(engine));

    pipeline.addLast("decoder", new HttpRequestDecoder());
    pipeline.addLast("logger", new RequestAuditLogger());
    // Uncomment the following line if you don't want to handle HttpChunks.
    pipeline.addLast("aggregator", new HttpChunkAggregator(1048576));
    pipeline.addLast("outputLogger", new ResponseAuditLogger());
    pipeline.addLast("encoder", new HttpResponseEncoder());
    // Remove the following line if you don't want automatic content compression.
    pipeline.addLast("deflater", new HttpContentCompressor());
    pipeline.addLast("handler", new HttpSnoopServerHandler());
    return pipeline;
}
}

затем ваш SSLContext должен быть изменен следующим образом, чтобы настроить хранилище доверия в дополнение к хранилищу ключей (SecureChatSslContextFactory):

public final class SecureChatSslContextFactory {


private static Logger logger = LoggerFactory.getLogger(SecureChatSslContextFactory.class);

private static final String PROTOCOL = "TLS";
private static final SSLContext SERVER_CONTEXT;
private static final SSLContext CLIENT_CONTEXT;

static {

    SSLContext serverContext = null;
    SSLContext clientContext = null;

        // get keystore and trustore locations and passwords
    String keyStoreLocation = System.getProperty("javax.net.ssl.keyStore");
    String keyStorePassword = System.getProperty("javax.net.ssl.keyStorePassword");
    String trustStoreLocation = System.getProperty("javax.net.ssl.trustStore");
    String trustStorePassword = System.getProperty("javax.net.ssl.trustStorePassword");
    try {

        KeyStore ks = KeyStore.getInstance("JKS");
        ks.load(KeyStoreStreamManager.asInputStream(keyStoreLocation),
                keyStorePassword.toCharArray());

        // Set up key manager factory to use our key store
        KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        kmf.init(ks, keyStorePassword.toCharArray());

          // truststore
        KeyStore ts = KeyStore.getInstance("JKS");
        ts.load(KeyStoreStreamManager.asInputStream(trustStoreLocation),
                trustStorePassword.toCharArray());

        // set up trust manager factory to use our trust store
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(ts);

        // Initialize the SSLContext to work with our key managers.
        serverContext = SSLContext.getInstance(PROTOCOL);
        serverContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);

    } catch (Exception e) {
        throw new Error(
                "Failed to initialize the server-side SSLContext", e);
    }

    try {
        clientContext = SSLContext.getInstance(PROTOCOL);
        clientContext.init(null, SecureChatTrustManagerFactory.getTrustManagers(), null);
    } catch (Exception e) {
        throw new Error(
                "Failed to initialize the client-side SSLContext", e);
    }

    SERVER_CONTEXT = serverContext;
    CLIENT_CONTEXT = clientContext;
}

public static SSLContext getServerContext() {
    return SERVER_CONTEXT;
}

public static SSLContext getClientContext() {
    return CLIENT_CONTEXT;
}

private SecureChatSslContextFactory() {
    // Unused
}
}

автор: Isuru · Accepted Answer · 2015-11-06 11:41:46

вместо SSLEngine использовать nettys SslContext создать новый SslHandler. В основном вы можете создать новый SslContext при прохождении KeyManagerFactory следующим образом

SslContext sslContext = SslContextBuilder.forServer (keyManagerFactory).build();

затем используйте created SslContext чтобы получить обработчик для ChannelPipeline.

ChannelPipeline.addLast("протокол SSL", возвращаетsslcontextэкземпляр.newHandler(socketChannel.alloc ()));

автор: Scott Mitchell · Accepted Answer · 2016-09-05 22:30:43

взаимная аутентификация теперь поддерживается Возвращаетsslcontextэкземпляр (в настоящее время только для поставщика JDK, но OpenSSL обеспечивает поддержку в ближайшее время). См.newClientContext и newServerContext которые теперь поддерживают принятие TrustManagerFactory и KeyManagerFactory. Эти статические методы фабрики также поддерживают сразу принимать сертификат, ключ, и файлы цепи сертификата для построения TrustManagerFactory и KeyManagerFactory для вы.

посмотреть JdkSslEngineTest для примера того, как требовать проверку подлинности клиента (для поставщика JDK).