小贝子编程

使用自签名证书和SSLEngine(JSSE)的SSL握手



我的任务是实现一个自定义/独立的Java Web服务器,该服务器可以在同一端口上处理SSL和非SSL消息。

我已经实现了一个NIO服务器,它在非SSL请求中运行得很好。我在SSL这篇文章上玩得很开心,真的需要一些指导。

以下是我迄今为止所做的工作。

为了区分SSL和非SSL消息,我检查入站请求的第一个字节,看看它是否是SSL/TLS消息。示例:

   byte a = read(buf);
   if (totalBytesRead==1 && (a>19 && a<25)){
       parseTLS(buf);
   }

在parseTLS()方法中,我实例化了一个SSLEngine,如下所示:

   java.security.KeyStore ks = java.security.KeyStore.getInstance("JKS");
   java.security.KeyStore ts = java.security.KeyStore.getInstance("JKS");
   ks.load(new java.io.FileInputStream(keyStoreFile), passphrase);
   ts.load(new java.io.FileInputStream(trustStoreFile), passphrase);
   KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
   kmf.init(ks, passphrase);
   TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
   tmf.init(ts);
   SSLContext sslc = SSLContext.getInstance("TLS");     
   sslc.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);

   SSLEngine serverEngine = sslc.createSSLEngine();
   serverEngine.setUseClientMode(false);
   serverEngine.setEnableSessionCreation(true);
   serverEngine.setWantClientAuth(true);

一旦SSLEngine被实例化,我就使用直接来自官方JSSESamples:的代码,使用unwrp/wrap方法来处理入站数据

   log("----");
   serverResult = serverEngine.unwrap(inNetData, inAppData);
   log("server unwrap: ", serverResult);
   runDelegatedTasks(serverResult, serverEngine);
   log("----");
   serverResult = serverEngine.wrap(outAppData, outNetData);
   log("server wrap: ", serverResult);
   runDelegatedTasks(serverResult, serverEngine);

握手的第一部分似乎很有效。客户端发送一条握手消息,服务器用一条包含4条记录的消息进行响应:

handshake (22)
- server_hello (2) 
- certificate (11) 
- server_key_exchange (12)
- certificate_request (13) 
- server_hello_done (14)

接下来,客户端发送一条由三部分组成的消息:

handshake (22)
 - certificate (11)
 - client_key_exchange (16)
change_cipher_spec (20)
 - client_hello (1)
handshake (22)
 *** Encrypted Message ****

SSLEngine打开客户端请求并解析记录,但wrap方法生成0个字节,握手状态为OK/NEED_UNWRAP。换言之,我没有什么可以回复给客户的,握手戛然而止。

这就是我陷入困境的地方。

在调试器中,我可以看到SSLEngine,特别是ServerHandshaker,没有找到任何对等证书。当我查看客户端的0字节长的证书记录时,这一点非常明显。但为什么呢?

我只能假设HelloServer的响应有问题,但我似乎无法确定。服务器似乎正在发送有效的证书,但客户端没有发送任何信息。我的密钥库有问题吗?还是信任库?或者这与我实例化SSLEngine的方式有关?我被难住了。

其他几点:

  • 上面代码片段中引用的密钥库和信任库是使用以下教程创建的:http://www.techbrainwave.com/?p=953
  • 我使用Firefox 10和IE 9作为客户端来测试服务器。两个web客户端的结果相同
  • 我使用的是Sun/Oracle JDK 6和它附带的Java安全套接字扩展(JSSE)

我期待着你的任何指导,但请不要告诉我我疯了,也不要使用Netty或Grizzly或其他现有的解决方案。只是目前还没有选择。我只是想明白我做错了什么。

提前感谢!

您得到了NEED_UNWRAP,所以请打开包装。这反过来可能会给你BUFFER_UNDERFLOW,这意味着你必须进行读取并重试打开。

类似地,当你得到NEED_WRAP时,进行一次包装:这反过来可能会给你BUFFER_OVERFLOW,这意味着你必须进行一次写入并重试包装。

该包裹或展开可能会反过来告诉您执行另一个操作:包裹或展开。

只做它告诉你要做的事。

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium