Мне было поручено реализовать собственный / автономный веб-сервер Java, который может обрабатывать сообщения SSL и не-SSL на одном и том же порту.
Я реализовал сервер NIO, и он довольно хорошо работает для запросов без SSL. У меня чертовски много времени с частью SSL, и я действительно могу воспользоваться некоторыми рекомендациями.
Вот что я сделал до сих пор.
Чтобы различать сообщения SSL и не-SSL, я проверяю первый байт входящего запроса, чтобы убедиться, что это сообщение SSL / TLS. Пример:
byte a = read(buf);
if (totalBytesRead==1 && (a>19 && a<25)){
parseTLS(buf);
}
В методе parseTLS () я создаю SSLEngine следующим образом:
java.security.KeyStore ks = java.security.KeyStore.getInstance("JKS");
java.security.KeyStore ts = java.security.KeyStore.getInstance("JKS");
ks.load(new java.io.FileInputStream(keyStoreFile), passphrase);
ts.load(new java.io.FileInputStream(trustStoreFile), passphrase);
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
kmf.init(ks, passphrase);
TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
tmf.init(ts);
SSLContext sslc = SSLContext.getInstance("TLS");
sslc.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
SSLEngine serverEngine = sslc.createSSLEngine();
serverEngine.setUseClientMode(false);
serverEngine.setEnableSessionCreation(true);
serverEngine.setWantClientAuth(true);
После создания экземпляра SSLEngine я обрабатываю входящие данные, используя методы развертывания / переноса, используя код из официального Образца JSSE :
log("----");
serverResult = serverEngine.unwrap(inNetData, inAppData);
log("server unwrap: ", serverResult);
runDelegatedTasks(serverResult, serverEngine);
log("----");
serverResult = serverEngine.wrap(outAppData, outNetData);
log("server wrap: ", serverResult);
runDelegatedTasks(serverResult, serverEngine);
Кажется, первая часть рукопожатия работает нормально. Клиент отправляет сообщение о рукопожатии, а сервер отвечает сообщением с 4 записями:
handshake (22)
- server_hello (2)
- certificate (11)
- server_key_exchange (12)
- certificate_request (13)
- server_hello_done (14)
Далее клиент отправляет сообщение из трех частей:
handshake (22)
- certificate (11)
- client_key_exchange (16)
change_cipher_spec (20)
- client_hello (1)
handshake (22)
*** Encrypted Message ****
SSLEngine разворачивает клиентский запрос и анализирует записи, но метод обертки выдает 0 байтов с состоянием рукопожатия OK / NEED_UNWRAP. Другими словами, мне нечего отправлять обратно клиенту, и рукопожатие замирает.
Вот где я застрял.
В отладчике я вижу, что SSLEngine, в частности ServerHandshaker, не находит никаких сертификатов одноранговых узлов. Это довольно очевидно, когда я смотрю на запись сертификата от клиента длиной 0 байт. Но почему?
Я могу только предположить, что с ответом HelloServer что-то не так, но, похоже, я не могу это понять. Сервер, похоже, отправляет действительный сертификат, но клиент ничего не отправляет обратно. Есть ли проблема с моим хранилищем ключей? Или это трастовый магазин? Или это как-то связано с тем, как я создаю экземпляр SSLEngine? Я в тупике.
Пара других очков:
- Склад ключей и хранилище доверенных сертификатов, указанные в приведенном выше фрагменте кода, были созданы с использованием следующего учебного пособия:
http://www.techbrainwave.com/?p=953
- Я использую Firefox 10 и IE 9 в качестве клиента для тестирования сервера. Одинаковые результаты для обоих веб-клиентов.
- Я использую Sun / Oracle JDK 6 и Java Secure Socket Extension (JSSE), которые поставляются в комплекте с ним.
Я с нетерпением жду любых ваших указаний, но, пожалуйста, не говорите мне, что я чокнутый, или использую Netty, Grizzly или какое-либо другое существующее решение. Это просто не вариант в настоящее время. Я просто хочу понять, что я делаю неправильно.
Заранее спасибо!