Java SSL证书验证

Java SSL证书验证

如果使用Java SE SSL /
TLS类（例如

SSLSocket

或

SSLEngine

）进行连接，则使用Java安全套接字扩展（JSSE）。

它会根据验证对方的证书

SSLContext

是用于创建此

SSLSocket

或

SSLEngine

。

这

SSLContext

将与初始化

TrustManager

是听写信任如何建立。

除非您需要特定的配置，否则您通常可以依靠默认值：这将依靠PKIX算法（RFC
3280）根据一组信任锚（

cacerts

默认情况下）来验证证书。

cacerts

Oracle
JRE随附的JKS是JKS密钥库，您可以在其中添加其他证书。例如，您可以显式添加证书

keytool

。

您还可以以

X509TrustManager

编程方式基于自定义密钥库创建一个，并将其用于

SSLContext

不影响默认密钥库的特定密钥库中。

除此之外，如果您使用自己的协议，则需要验证所获得的证书是否与您要查找的主机名匹配（请参阅RFC
6125）。通常，您可以在获得的主题中查找主题替代名称

X509Certificate

（从中获取链中的第一个对等证书

SSLSession

），否则，请

CN

在主题可分辨名称中查找RDN。