自签名证书的WEB服务安全应用
Java编程语言的一个杰出之处就在于开源社区可以以较低的成本或者甚至是免费地提供优秀的应用程序。其中一个例子就是Apache Tomcat,它为使用servlet或JSP技术的开发提供了一个健壮的Web服务器。现在Web服务技术正日趋成熟,所以有些应用程序就有可能利用 Swing特性丰富的前端瘦客户端结合Web或ejb层已经开发出来的数据验证和业务逻辑。此类应用程序只有在受到保护的情况下才能正常运行,不过,安全性不一定意味着昂贵的成本。本文的目的就是要演示Web服务客户端如何通过安全的HTTPS协议使用自签名的安全证书。
使用自签名证书的问题HTTPS 通常可以无缝地与不安全的HTTP协议一起使用,而不中断用户的体验。这是由于SSL被设计为由可信的第三方进行验证和签名。Verisign是一家流行的认证机构。如果您的Web应用程序要求安全的通信,那么您就可以付钱给Verisign来签名您的SSL证书。经过Verisign签名之后,您的 Web站点上的用户就可以不中断地在HTTP与HTTPS之间进行切换,因为所有主流Web浏览器都信任由Verisign签名的证书。但是 Verisign并不是获得签名证书的惟一选择。为了节省运作成本,或者为了个人使用方便,您也可以自签名自己的证书。但是,自签名证书会中断Web站点用户的体验。通常Web浏览器会显示一个对话框,询问您是否希望信任一个自签名证书。
Web浏览器的这一特性很好,因为当其获得一个由未知认证机构签名的证书时,还有机会进行处理。在开发用于通过HTTPS进行通信的Web服务客户端时,这就没那么容易了。在运行Java代码时,不会出现询问是否信任一个不可信的认证机构的对话框。JRE会抛出一个异常,说明试图通过HTTPS连接到一个具有不可信证书的Web站点:
Caused by:sun.security.validator.ValidatorException:No trusted certificate found
无法捕获此异常并继续。要让Web服务使用自签名证书,JRE必须以某种方式将您当作认证机构信任。
解决方案概述为演示此问题的解决方案,我将执行以下步骤:
生成并自签名我自己的证书; 为Tomcat配置SSL,使其使用该证书; 创建一个示例Web服务,以便通过HTTPS调用; 从WSDL生成Web服务客户端代码; 使用定制的密钥库解决方案演示客户端; 生成自签名证书JDK附带了一个工具,keytool.exe,用于管理SSL公钥/私钥。密钥在文件系统的一个二进制文件中进行添加和删除。默认的密钥库文件是 JAVA_HOME\jre\lib\security\cacerts。该文件包含了JRE所信任的认证机构的列表。一个知名可信公司(比如 Verisign)的列表已经存在于密钥库中了。要查看该列表,可使用口令changeit执行以下代码:
D:\>keytool -list -rfc -keystore JAVA_HOME\jre\lib\security\cacerts
Keytool应用程序可用于编辑此文件。但是,为了防止出错,最好还是创建一个新文件。如果不告知keytool使用哪个文件,它就会默认地创建HOME/.keystore。
要生成自己的自签名证书,可执行:
D:\>keytool.exe -genkey -alias Tomcat -keyalg RSA -storepass bigsecret -keypass bigsecret -dname "cn=localhost"
执行完该命令后,就会在HOME目录下生成一个.keystore文件。下面是各种切换命令的含义:
genkey:告诉keytool应用程序生成新的公钥/私钥对。 alias:用于引用密钥的名称。记住,.keystore文件可包含多个密钥。 Keyalg:使用RSA算法生成公钥/私钥对。 Storepass:访问.keystore文件所需的口令。 Keypass:管理密钥所需的口令。 dname:该值非常重要。.我使用了localhost,因为该示例被设计为本地运行。如果一个Web应用程序被注册为http://www.myserver.com,那么该值就必须是www.myserver.com。如果名称不匹配,证书就会自动被拒绝。一旦keytool应用程序创建了一个新的公钥/私钥对,它就自动自签名该密钥。我们刚刚生成了自己的自签名证书,它可用于HTTPS通信。只需提取出自签名公钥。后面我将展示如何做。
为Tomcat配置SSL现在必须配置Tomcat,使其使用自签名证书。我使用的是Tomcat 5.0.30。编辑TOMCAT/conf/server.xml文件。在文件中搜索“8443”,并取消绑定到该端口的<Connector.../>注释。然后必须向<Connector.../>添加下属属性:
keystorePass="bigsecret"
当JRE启动时,它将自动找到HOME/.keystore文件,并且Tomcat会试着使用口令“bigsecret”访问它。在Tomcat启动时,控制台应该有如下输出:
Feb 4, 2006 3:11:23 PM org.apache.coyote.http11.Http11Protocol start
INFO:Starting Coyote HTTP/1.1 on http-8443
这意味着<Connector.../>成功地读取了.keystore文件,现在可以通过8443端口进行安全的HTTPS连接了。打开Web浏览器,并在地址栏输入https://localhost:8443/。因为该证书是自签名的,所以Web浏览器将显示一个对话框,询问是否信任该连接。如果接受,则所有的通信都将通过HTTPS进行,从而成为安全的。
创建Web服务我将使用Apache Axis项目创建一个非常简单的Web服务。该Web服务将模拟检查新的电子邮件消息。Web服务客户端传递一个惟一地识别一个用户的令牌。Web服务返回一个新电子邮件消息的列表(参见清单1)。
清单1?
main()方法设置系统属性,然后创建使用该Web服务的对象。当JRE需要访问密钥库时,它就在文件系统中寻找 classpath/resources/keystore/CustomKeystore文件。虽然这只是一个简单的解决方案,但它还是存在问题,因为密钥库文件必须放在文件系统中,而客户端代码也必须知道在哪里找到它。
第二种解决方案具有更好的可移植性,它将资源放在jar文件中,从而避免了文件系统问题。客户端代码负责读取CustomKeystore文件,并以某种方式使用它创建到服务器的安全连接。jdj.wsclient.socketfactory包中的示例Web服务客户端使用的就是这种方法(参见清单5)。
清单5public MySocketFactory(Hashtable table)throws Exception{out("Created!");KeyStore ks =KeyStore.getInstance(KeyStore.getDefaultType());char [] password ="littlesecret".toCharArray();String keystore ="/resources/keystore/CustomKeystore";Class tclass =this.getClass();InputStream is =tclass.getResourceAsStream(keystore);ks.load(is, password);KeyManagerFactory kmf =KeyManagerFactory.getInstance("SunX509");kmf.init(ks,password);TrustManagerFactory tmf =TrustManagerFactory.getInstance("SunX509");tmf.init(ks);SSLContext context =SSLContext.getInstance("SSL");context.init(kmf.getKeyManagers(),tmf.getTrustManagers(),new SecureRandom());factory =context.getSocketFactory();}清单5显示了如何将CustomKeystore文件作为资源读取,并使用它来创建javax.net.ssl.SSLSocketFactory。配置Axis可插入架构,然后可使用MySocketFactory类从该工厂创建安全的Socket对象。
结束语本文以一个简单的问题开始:我希望使用自签名的证书保护通过HTTPS的Web服务通信。默认情况下,JRE会拒绝应用程序的自签名证书,因为它不是来自于可信的认证机构。要让安全的通信可运行,必须让Web服务客户端JRE信任自签名证书。为此,我使用keytool应用程序生成一个新的公钥/私钥对,提取出自签名公钥,然后创建一个新的密钥库,并导入该自签名证书。然后我创建一个不需要任何客户端配置的、完全自包含的Web服务客户端