動態SSL密鑰庫/證書選擇

Question

我的應用程序是在websphere上運行的Web服務提供者，並且SOAP Web服務客戶端由多個特定於每個客戶端的密鑰庫組成。該應用程序需要遷移到tomcat，我很震驚，因爲我需要使用不同的證書來建立基於傳入客戶端請求的後端服務器的TLS連接

我正在使用springboot並有一種方法來配置密鑰庫和可信任。緊接着下面的鏈接：

http://zoltanaltfatter.com/2016/04/30/soap-over-https-with-client-certificate-authentication/

我想設置爲基於客戶端運行時的證書/密鑰庫。爲此，我連線密鑰庫和配置（客戶端）名稱，以便我可以動態使用客戶端特定的密鑰庫。但這是緊密耦合的，每當我有一個新的客戶端，我需要爲客戶端創建一個條目並設置相應的密鑰庫。

但是我想到了另一種方法，比如我將所有證書都保存在一個密鑰庫中，我們如何動態訪問客戶端特定的證書？

Answer 1

您可以使用密鑰庫來管理您的所有客戶端證書，這些證書將通過別名進行標識。

默認KeyManager將在握手中選擇第一個證書，因此在創建連接之前無需構建自己的X509KeyManager來指定要使用的別名。見How I can tell alias of the wanted key-entry to SSLSocket before connecting?

KeyStore keystore = ... //The keystore with all your certificates 

//The keymanager for an specific connection 
KeyManagerFactory kmf= KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); 
kmf.init(keystore, password.toCharArray()); 

//Create a keyManager wrapper that returns the alias to use 
final X509KeyManager origKm = (X509KeyManager)kmf.getKeyManagers()[0]; 
X509KeyManager km = new X509KeyManager() { 
    public String chooseClientAlias(String[] keyType, Principal[] issuers, Socket socket) { 
     return "alias"; 
    } 

    public X509Certificate[] getCertificateChain(String alias) { 
     return origKm.getCertificateChain(alias); 
    } 

// override the rest of the methods delegating to origKm ... 
} 

在HttpsUrlConnectionMessageSender

HttpsUrlConnectionMessageSender messageSender = new HttpsUrlConnectionMessageSender(); 
//messageSender.setKeyManagers(keyManagerFactory.getKeyManagers()); 
messageSender.setKeyManagers(new KeyManager[] { km });