我正在使用Java BouncyCastle所谓的“轻量级”API在TCP套接字上建立TLS连接。
我想要验证由受信任的CA之一签名的服务器提供的证书链。听起来像是每个正常的TLS客户端实现默认都会做的相当普遍的任务,所以我期望这应该很简单。
为了简化问题,我不询问验证除签名/信任链以外的任何内容,例如匹配主机名或检查过期日期。这些检查似乎很容易实现。
如果我正确理解文档,那么有一个
所以,目前我的内容如下:
然而,我无法理解或找到任何现有的示例来检查一个
由于需要使用默认Java安装不允许的密码套件,因为它们受制于美国加密政策管辖范围,所以我正在使用BounceCastle的专有API。例如,AES256加密需要安装无限制强度策略文件,如果可能的话,我真的很想避免额外的最终用户安装步骤。
我想要验证由受信任的CA之一签名的服务器提供的证书链。听起来像是每个正常的TLS客户端实现默认都会做的相当普遍的任务,所以我期望这应该很简单。
为了简化问题,我不询问验证除签名/信任链以外的任何内容,例如匹配主机名或检查过期日期。这些检查似乎很容易实现。
如果我正确理解文档,那么有一个
TlsAuthentication
接口,用户应该实现它。唯一提供的实现是LegacyTlsAuthentication
,它适配了现在已经过时的CertificateVerifyer
接口,该接口仅有AlwaysValidVerifyer
实现(在幕后只是虚拟的"return true;
")。所以,目前我的内容如下:
DefaultTlsClient tlsClient = new DefaultTlsClient() {
@Override
public TlsAuthentication getAuthentication() throws IOException {
TlsAuthentication auth = new TlsAuthentication() {
@Override
public void notifyServerCertificate(Certificate serverCertificate) {
// Here I should validate certificate chain, but this far
// I only managed to print subjects for debugging purposes.
for (org.bouncycastle.asn1.x509.Certificate c : serverCertificate.getCerts()) {
System.out.println("Certificate: " + c.getSubject().toString());
}
}
@Override
public TlsCredentials getClientCredentials(CertificateRequest cr) throws IOException {
return null;
}
};
return auth;
}
};
socket = new Socket(hostname, port);
tlsHandler = new TlsProtocolHandler(socket.getInputStream(), socket.getOutputStream());
tlsHandler.connect(tlsClient);
然而,我无法理解或找到任何现有的示例来检查一个
org.bouncycastle.asn1.x509.Certificate
是否已被另一个证书正确签名。请问有人能够为我提供一些指引吗?由于需要使用默认Java安装不允许的密码套件,因为它们受制于美国加密政策管辖范围,所以我正在使用BounceCastle的专有API。例如,AES256加密需要安装无限制强度策略文件,如果可能的话,我真的很想避免额外的最终用户安装步骤。