Бесплатный вебинар
«как найти любимую работу»
Подарки на 150 000 ₽ за участие
Живой эфир
Записи не будет!
00:00:00:00
дн.ч.мин.сек.

Применить самоподписанный сертификат в Java: безопасное решение

Быстрый ответ

для управления TLS-конфигурациями в вашем приложении на Java создавайте отдельный SSLContext для каждого HTTPS-соединения и подключайте к нему подходящий сертификат.

Java
Скопировать код
SSLContext sslContext = SSLContext.getInstance("TLS");

KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(new FileInputStream("keystore.jks"), "password".toCharArray());

KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(keyStore, "keypassword".toCharArray());

sslContext.init(kmf.getKeyManagers(), null, new SecureRandom());

SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
HttpsURLConnection connection = (HttpsURLConnection) new URL("https://custom.domain").openConnection();
connection.setSSLSocketFactory(sslSocketFactory);

Загрузите ваш сертификат в KeyStore, настройте KeyManagerFactory и позвольте SSLContext извлечь остальную информацию.

Кинга Идем в IT: пошаговый план для смены профессии

Работа с несколькими сертификатами

В процессе работы с несколькими сертификатами в Java-приложении необходим эффективный механизм управления.

Загрузка сертификатов – Подготовка

Для добавления сертификата в KeyStore используйте CertificateFactory и PEM-файл.

Java
Скопировать код
CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
FileInputStream fis = new FileInputStream("cert.pem");
Certificate certificate = certificateFactory.generateCertificate(fis);

KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(null, null);
keyStore.setCertificateEntry("alias", certificate);

TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(keyStore);

SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, tmf.getTrustManagers(), new SecureRandom());
Подробнее об этом расскажет наш спикер на видео
skypro youtube speaker

Работа с самоподписанными сертификатами – Справляемся с задачами самостоятельно!

При работе с самоподписанными сертификатами создавайте собственное хранилище доверенных сертификатов, вместо использования глобального хранилища.

Java
Скопировать код
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, new TrustManager[]{new CustomTrustManager(keyStore)}, new SecureRandom());

CustomTrustManager будет определять, какие сертификаты можно доверять.

Настройка системных свойств для собственного хранилища доверенных сертификатов

Вы можете настроить системные свойства для работы со своим хранилищем доверенных сертификатов.

Java
Скопировать код
System.setProperty("javax.net.ssl.trustStore", "path/to/custom.truststore");
System.setProperty("javax.net.ssl.trustStorePassword", "truststorepassword");

Преобразование KeyManager и TrustManager

Для настройки SSL-конфигурации используйте KeyManagerFactory и TrustManagerFactory для одновременной работы по аутентификации клиента и сервера.

Продвинутый уровень – Повышаем уровень сложности!

Обновление хранилища доверенных сертификатов в реальном времени

Разработайте подход, который позволит обновлять хранилище доверенных сертификатов без перезапуска приложения.

Java
Скопировать код
if (trustStoreIsUpdated()) {

    TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    tmf.init(updatedKeyStore);

    sslContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), new SecureRandom());
}

Добавление сертификатов с помощью keytool

Легко управляйте сертификатами с помощью инструментов JDK, используя утилиту keytool.

Bash
Скопировать код
keytool -import -alias "mycert" -file "certificate.pem" -keystore "keystore.jks" -storepass "password"

Следите за актуализацией JRE

Следите за релизами новых версий JRE и используйте автоматический механизм слияния с вашим хранилищем сертификатов, чтобы оставаться в синхроне со списком доверенных сертификатов CA.

Загрузка сертификата через командную строку

Вы можете загрузить сертификаты в KeyStore прямо из командной строки.

Java
Скопировать код
String certString = "...";
ByteArrayInputStream bais = new ByteArrayInputStream(certString.getBytes());
Certificate certificate = certificateFactory.generateCertificate(bais);

Формат сертификата в строке – важна точность!

Забота о корректной структуре строки самоподписанного сертификата критически важна для успешного импорта и подключения.

Извлечение открытого ключа – Достаньте "золото"!

Вы можете использовать инструмент openssl для извлечения открытого ключа и его импорта в хранилище Java с помощью keytool.

Визуализация

Каждый сертификат защищает соединение:

Markdown
Скопировать код
Ключ (🔑) = Сертификат A для Соединения 1
Ключ (🗝️) = Сертификат B для Соединения 2
Ключ (🔐) = Сертификат C для Соединения 3

Сопоставление SSLContext и сертификатов для каждого соединения:

Java
Скопировать код
// SSLContext contextA = SSLContext.getInstance("TLS");
// Инициализация с KeyStore ksA

HttpsURLConnection connection1 = (HttpsURLConnection) new URL("https://connection1.com").openConnection();
connection1.setSSLSocketFactory(contextA.getSocketFactory());

// SSLContext contextB = SSLContext.getInstance("TLS");
// Инициализация с KeyStore ksB

HttpsURLConnection connection2 = (HttpsURLConnection) new URL("https://connection2.com").openConnection();
connection2.setSSLSocketFactory(contextB.getSocketFactory());

Как ключ открывает замок:

Markdown
Скопировать код
Соединение 1 🗝️🔓✅ – Сертификат A
Соединение 2 🔑🔓✅ – Сертификат B
Соединение 3 🚫🔒❌ – ???

Выбор подходящего сертификата гарантирует успешное подключение.

Полезные материалы

  1. SSLContext (Java Platform SE 8) — документация Oracle на SSLContext в Java 8.
  2. JSSE Reference Guide for Java SE — руководство по настройке SSL в Java-приложениях.
  3. KeyManager (Java Platform SE 8) — разъяснение роли KeyManager в выборе клиентского сертификата для SSL-соединений.
  4. Creating a KeyStore in JKS Format — инструкция по созданию KeyStore.
  5. Configuring Java SSL/TLS with Client Certificates — статья с практическими рекомендациями к настройке SSL/TLS с клиентскими сертификатами.
  6. How many qubits are needed to factor 2048-bit RSA keys on a quantum computer? – Information Security Stack Exchange — дискуссия по выбору сертификатов, с полезными советами от сообщества.
Проверь как ты усвоил материалы статьи
Пройди тест и узнай насколько ты лучше других читателей
Какой объект используется для создания SSLContext в Java?
1 / 5