服務器存貨的關鍵代碼

Question

如何以編程方式創建私鑰並在SSL套接字中使用它？

我把一個註釋的異常下面，我試圖將密鑰添加到密鑰存儲區，但我沒有證書鏈。

KeyPairGenerator keyGen = KeyPairGenerator.getInstance("RSA"); 
    keyGen.initialize(1024, new SecureRandom()); 
    KeyPair keypair = keyGen.generateKeyPair(); 

    System.setProperty("javax.net.ssl.keyStore", System.getProperty("user.home") 
     + File.separator + 
      + "/keystore.jks"); 
    System.setProperty("javax.net.ssl.keyStorePassword", "xyz"); 

    KeyManagerFactory keyManagerFactory = KeyManagerFactory 
      .getInstance("SunX509"); 
    KeyStore keyStore = KeyStore.getInstance("JKS"); 
    keyStore.load(null, "xyz".toCharArray()); 

    //setKeyEntry parameter 3 can not be null: 
    //IllegalArgumentException: Private key must be accompanied by certificate chain 
    keyStore.setKeyEntry("alias", keypair.getPrivate(), 
      "xyz".toCharArray(), null); 

    keyManagerFactory.init(keyStore, "xyz".toCharArray()); 
    // keyStore.load 
    SSLContext context = SSLContext.getInstance("TLS");// "SSLv3" 
    context.init(keyManagerFactory.getKeyManagers(), null, 
      new SecureRandom()); 
    ServerSocketFactory socketFactory = context.getServerSocketFactory(); 
    ServerSocket ssocket = socketFactory.createServerSocket(1443); 
    Socket socket = ssocket.accept(); 

Answer 1

如何編程創建一個私有密鑰和一個SSL 插座使用它呢？

僅創建一個私鑰甚至只是一個私鑰/公鑰對都沒有意義。您需要在服務器上設置的是與此私鑰相關聯的證書。

基於ASN.1語法，X.509證書是相當複雜的結構。我強烈建議您使用BouncyCastle（或多或少地按照您鏈接到的博客文章中的描述）。手工操作並非易事。 （如果您不確定，請查看BouncyCastle類的源代碼。）

此外，動態創建此證書（及其關聯的私鑰）幾乎沒有意義。證書的要點是允許客戶端驗證它正在與之通話的服務器的身份。客戶端通過檢查服務器證書與其擁有的可信證書列表（使用PKI或通過與手動配置的特定服務器證書進行單獨比較）來執行此操作。

如果您動態生成自簽名證書，則客戶無法將其與預先知道的事項進行比較。如果您的服務器也是CA（適用於類似於MITM代理服務器的應用程序），它可能會很有用。