Java HTTPS クライアント証明書認証を実装するにはどうすればよいですか?

Java HTTPS クライアント証明書認証: 総合ガイド

HTTPS でのクライアント証明書認証では、クライアントがその身元を証明するために暗号化資格情報を提示する必要があります。サーバ。これらの資格情報の形式と内容を理解することは、認証を成功させるために非常に重要です。

クライアントのキーストア

クライアントのキーストア (通常は PKCS#12 形式) には、次のものが含まれます。

• クライアントの公開証明書: これは、認証局 (CA) によって発行された、クライアントの ID を証明します。
• クライアントの秘密鍵: この鍵は、クライアントの証明書のロックを解除し、その所有権を証明します。

PKCS#12 を生成するコマンドキーストア:

openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name "Whatever"

クライアントのトラストストア

クライアントのトラストストアは、通常 JKS 形式で、検証に使用されるルートまたは中間 CA 証明書を保持します。サーバーの証明書。

JKS を生成するコマンドトラストストア:

keytool -genkey -dname "cn=CLIENT" -alias truststorekey -keyalg RSA -keystore ./client-truststore.jks -keypass whatever -storepass whatever
keytool -import -keystore ./client-truststore.jks -file myca.crt -alias myca

注意すべき問題

• クライアント証明書の認証はサーバーによって強制される必要があります。
• サーバーの証明書リクエストには、信頼できる CA のリストが含まれています。クライアント証明書は、これらの CA のいずれかによって署名されている必要があります。
• デバッグ中の拡張 SSL/HTTPS パケット分析には Wireshark を使用します。
• HTTPS クライアント認証用の Java コマンドライン引数:

-Djavax.net.debug=ssl
-Djavax.net.ssl.keyStoreType=pkcs12
-Djavax.net.ssl.keyStore=client.p12
-Djavax.net.ssl.keyStorePassword=whatever
-Djavax.net.ssl.trustStoreType=jks
-Djavax.net.ssl.trustStore=client-truststore.jks
-Djavax.net.ssl.trustStorePassword=whatever

以上がJava HTTPS クライアント証明書認証を実装するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。