Maison >Java >javaDidacticiel >Comment s'authentifier à l'aide de certificats clients en Java HTTPS ?
Authentification à l'aide de certificats clients en Java
HTTPS, TLS et SSL sont des protocoles cryptographiques utilisés pour sécuriser les communications sur Internet. Lors de l'utilisation de certificats pour l'authentification, le client présente généralement un certificat au serveur pour vérification.
Présentation du certificat client en Java
Lorsqu'un client s'authentifie avec des certificats en Java, il présente un fichier keystore PKCS#12 contenant :
Le magasin de clés peut être généré à l'aide de la commande OpenSSL :
openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name "Whatever"
Notez que l'utilisation d'OpenSSL version 0.9.8h peut provoquer des problèmes dans la génération de fichiers PKCS#12.
Truststore Fichier
Le client nécessite également un truststore, un fichier JKS contenant les certificats racine ou intermédiaires de l'AC. Ces certificats déterminent avec quels serveurs le client peut communiquer.
Il peut être généré à l'aide de l'utilitaire 'keytool' :
keytool -genkey -dname "cn=CLIENT" -alias truststorekey -keyalg RSA -keystore ./client-truststore.jks -keypass whatever -storepass whatever keytool -import -keystore ./client-truststore.jks -file myca.crt -alias myca
Processus d'authentification du certificat client
L'authentification du certificat client n'est appliquée que par le serveur. Lorsque le serveur demande un certificat client, il fournit également une liste d'autorités de certification de confiance. Si le certificat du client n'est pas signé par l'une de ces autorités de certification, il ne sera pas présenté.
Wireshark pour le débogage
Wireshark est un outil précieux pour le débogage SSL/HTTPS problèmes. Il fournit une analyse détaillée des paquets qui peut aider à identifier les problèmes.
Bibliothèques client HTTP
La bibliothèque Apache HttpClient peut être utilisée avec HTTPS en définissant des arguments JVM :
-Djavax.net.debug=ssl -Djavax.net.ssl.keyStoreType=pkcs12 -Djavax.net.ssl.keyStore=client.p12 -Djavax.net.ssl.keyStorePassword=whatever -Djavax.net.ssl.trustStoreType=jks -Djavax.net.ssl.trustStore=client-truststore.jks -Djavax.net.ssl.trustStorePassword=whatever
Conseils supplémentaires
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!