Netty SSL主機名驗證支持

Question

從我所知道的，沒有可用於在Netty中啓用SSL主機名驗證的「標誌」或配置設置。例子我見過添加使用）由SslHandler.handshake（返回的ChannelFuture定製實現：

ChannelFuture handshakeFuture = sslHandler.handshake(); 
handshakeFuture.addListener(new ChannelFutureListener() 
{ 
    public void operationComplete(ChannelFuture future) throws Exception 
    { 
     if (future.isSuccess()) 
     { 
      // get peer certs, verify CN (or SAN extension, or..?) against requested domain 
      ... 

我只是想確保我在正確的軌道上，而我絕不錯過辦法簡單地「啓用」主機名驗證。

Answer 1

如果您使用的是Java 7，可以通過配置SSLSocket或SSLEngine通過默認信任管理器爲您完成。 （這是獨立的Netty的。）

像這樣應該工作：

SSLContext sslContext = SSLContext.getDefault(); 
SSLEngine sslEngine = sslContext.createSSLEngine(); 

SSLParameters sslParams = new SSLParameters(); 
sslParams.setEndpointIdentificationAlgorithm("HTTPS"); 
sslEngine.setSSLParameters(sslParams); 

的SSLEngine實例可以作爲一個參數傳遞給SslHandler構造如this example描述被傳遞。

端點識別算法可以是HTTPS或LDAP。對於其他協議，HTTPS規則應該相當明智。

（當然，您可以通過使用錯誤的主機名連接到該主機來檢查它的工作原理，例如使用IP地址而不是主機名的URL，假設證書不包含主題替代名稱爲它的IP地址條目。）