Java HTTPS でクライアント証明書を使用して認証するにはどうすればよいですか?

Java でクライアント証明書を使用した認証

HTTPS、TLS、および SSL は、インターネット上の通信を保護するために使用される暗号化プロトコルです。認証に証明書を使用する場合、クライアントは通常、検証のために証明書をサーバーに提示します。

Java でのクライアント証明書の提示

クライアントが Java の証明書で認証する場合、以下を含む PKCS#12 キーストア ファイルを提示します:

• クライアントの公開証明書 (自己署名 CA または認定機関)
• クライアントの秘密鍵

キーストアは OpenSSL コマンドを使用して生成できます。

openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name "Whatever"

OpenSSL を使用することに注意してくださいバージョン 0.9.8h では、PKCS#12 の生成時に問題が発生する可能性がありますfiles.

トラストストア ファイル

クライアントには、ルートまたは中間 CA 証明書を含む JKS ファイルであるトラストストアも必要です。これらの証明書は、クライアントが通信できるサーバーを決定します。

「keytool」ユーティリティを使用して生成できます:

keytool -genkey -dname "cn=CLIENT" -alias truststorekey -keyalg RSA -keystore ./client-truststore.jks -keypass whatever -storepass whatever
keytool -import -keystore ./client-truststore.jks -file myca.crt -alias myca

クライアント証明書認証プロセス

クライアント証明書の認証はサーバーによってのみ強制されます。サーバーがクライアント証明書を要求すると、信頼できる CA のリストも提供されます。クライアントの証明書がこれらの CA のいずれかによって署名されていない場合、証明書は提示されません。

デバッグ用 Wireshark

Wireshark は、SSL/HTTPS をデバッグするための貴重なツールです問題。問題の特定に役立つ詳細なパケット分析が提供されます。

HTTP クライアント ライブラリ

Apache HttpClient ライブラリは、JVM 引数を設定することで HTTPS で使用できます:

-Djavax.net.debug=ssl
-Djavax.net.ssl.keyStoreType=pkcs12
-Djavax.net.ssl.keyStore=client.p12
-Djavax.net.ssl.keyStorePassword=whatever
-Djavax.net.ssl.trustStoreType=jks
-Djavax.net.ssl.trustStore=client-truststore.jks
-Djavax.net.ssl.trustStorePassword=whatever

追加ヒント

• サーバーがクライアント証明書を受け入れるように正しく構成されていることを確認します。
• クライアント証明書の有効性と有効期限を確認します。
• トラストストアを次のように構成します。通信中のサーバーの有効な CA 証明書を含めます。

以上がJava HTTPS でクライアント証明書を使用して認証するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。