在 Java Web 服务器中使用 Letsencrypt 证书

Posted

技术标签:

【中文标题】在 Java Web 服务器中使用 Letsencrypt 证书【英文标题】:Using a letsencrypt certificate in a java web server 【发布时间】:2017-01-16 06:31:07 【问题描述】:

我选择使用acme4j 创建letsencrypt 证书。到目前为止,它似乎运行良好,我有一些创建注册的 java 代码,响应挑战,最终为我的域提供了 x509 证书(以及“证书链”)。该代码很好地集成到我的 java 应用程序中,并且不需要任何停机时间来更新证书。惊人的。

从这里我有点卡住了。我的应用程序只是一个 main 应用程序,它有一个嵌入的 undertow 网络服务器,我以编程方式对其进行实例化。为了创建一个 https 监听器,我需要创建一个 SSLContext 对象。我已将从letsencrypt 获得的x509 证书保存到磁盘,以便可以重复使用:

    ...
    X509Certificate x509 = cert.download();

    Path pemFile = pathTo(domain + ".pem");

    try (Writer writer = Files.newBufferedWriter(pemFile); JcaPEMWriter jcaPEMWriter = new JcaPEMWriter(writer)) 
        jcaPEMWriter.writeObject(x509);
    

然后在启动时,我的应用程序会重新加载该证书并将其传递到 undertow Web 服务器:

    CertificateFactory cf = CertificateFactory.getInstance("X.509");
    FileInputStream finStream = new FileInputStream(certFile.toFile());
    X509Certificate x509Certificate = (X509Certificate)cf.generateCertificate(finStream);

    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
    keyStore.load(null);
    keyStore.setCertificateEntry("someAlias", x509Certificate);

    TrustManagerFactory instance = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    instance.init(keyStore);

    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, instance.getTrustManagers(), null);
    SSLContext.setDefault(sslContext);

    Undertow.Builder builder = Undertow.builder();
    builder.addHttpsListener(httpsPort, ipAddress, sslContext);

应用程序启动后,看不到任何错误或警告,直到我尝试点击 Chrome 仅显示 _ERR_CONNECTION_CLOSED_ 的 https 端点。我打开-Djavax.net.debug=all 尝试看看发生了什么:

%% Initialized:  [Session-12, SSL_NULL_WITH_NULL_NULL]
XNIO-1 task-12, fatal error: 40: no cipher suites in common
javax.net.ssl.SSLHandshakeException: no cipher suites in common
%% Invalidated:  [Session-12, SSL_NULL_WITH_NULL_NULL]
XNIO-1 task-12, SEND TLSv1.1 ALERT:  fatal, description = handshake_failure
XNIO-1 task-12, WRITE: TLSv1.1 Alert, length = 2
XNIO-1 I/O-2, fatal: engine already closed.  Rethrowing javax.net.ssl.SSLHandshakeException: no cipher suites in common
XNIO-1 I/O-2, called closeInbound()
XNIO-1 I/O-2, fatal: engine already closed.  Rethrowing javax.net.ssl.SSLException: Inbound closed before receiving peer's close_notify: possible truncation attack?
2016-09-08 08:34:46,861 DEBUG [io] - UT005013: An IOException occurred
java.io.IOException: javax.net.ssl.SSLException: Inbound closed before receiving peer's close_notify: possible truncation attack?

我正在尝试在这里提出一个纯 Java 解决方案。在代码中可重复的东西,可以测试并签入源代码控制。如果可能的话,我想避免进行任何 jvm 外的机器级别设置。

经过大量的骇客和阅读后,似乎我需要使用keytool 和我颁发的证书的某种组合,连同我颁发的证书链,以及根证书和 some/none/所有中级letsencrypt 证书!认真的吗?

我尝试按照标题为“7.3.1.3。使用现有证书”的部分中的说明 here 进行操作,但结果却完全相同。

任何帮助将不胜感激。

【问题讨论】:

【参考方案1】:

SSL/TLS 服务器(任何语言)需要一个私钥和证书(几乎总是一个证书链)而不仅仅是一个证书。 Java SSL/TLS 服务器需要 KeyManager 中的 privatekey+certchain 而不是 TrustManager——任何建议您只为 SSL/TLS 服务器设置 TrustManager 的建议都是完全不称职的。您链接到的第 7.3.1.3 节没有任何意义,尽管 next 节 7.3.1.4,尽管它声称有一个我从未见过的错误,而且我几乎使用了每个版本的 OpenSSL,确实描述了几乎OpenSSL密钥+证书转换为Java的正确方法,这与前面描述的以OpenSSL格式创建密钥和证书的部分相匹配。但是你没有 OpenSSL 格式。

That acme4j page 正确地说你应该“生成一对单独的密钥”——这对意味着私有和公共——前面的“如何使用”页面告诉你如何处理他们的KeyPairUtils,然后生成一个 CSR 并发送它,并获得证书和链。它指定一个调用

X509Certificate[] chain = cert.downloadChain()

如果 LetsEncrypt 很聪明,这可能就是您所需要的;看看chain[0].getSubjectX500Principal(),看看是不是你。如果不是,您可能需要同时执行 download()downloadChain() 并将它们与您的证书放在一个数组中:

X509Certificate[] fixchain = new X509Certificate [chain.length+1];
fixchain[0] = mycert; System.arraycopy (chain,0, fixchain,1, chain.length);
chain = fixchain; // for simplicity

一旦你有了证书链和密钥对,就可以做类似的事情

char[] password = /* some value, should be secure if used for file, 
    if used only in memory doesn't really matter */
KeyStore ks = KeyStore.getInstance("jks"/*or default if you don't care*/); 
ks.load (null); // above line and this same as you have now
ks.setKeyEntry ("alias", keypair.getPrivateKey(), password, chain);
// this line different -- KeyEntry not CertificateEntry

// if you want to save in a file for reuse
try( OutputStream os = new FileOutputStream ("blah") ) ks.store (os, password); 
// if you want to save somewhere else, extrapolate 

// if/when you want to run server
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(ks, password); // same password as above (or when stored)
// MAYBE TrustManager if you want to require certs FROM CLIENTS
// in which case the certs you trust probably shouldn't be limited to LetsEncrypt
SSLContext ctx = SSLContext.getInstance("TLS";
ctx.init(kmf.getKeyManagers(), null /*or tmf.getTrustManagers()*/, null);
SSLContext.setDefault (ctx); // or otherwise use ctx

仅供参考,如果证书实际上是您需要存储和读取的,则无需将其转换为 PEM,除非您希望人们剪切​​和粘贴等。Java CertificateFactory 已经处理了 DER 和 PEM 至少十年。

【讨论】:

以上是关于在 Java Web 服务器中使用 Letsencrypt 证书的主要内容,如果未能解决你的问题,请参考以下文章

在 Java Web 服务器中使用 Letsencrypt 证书

如何使用 JAX 在 Java 中使用 Web 服务从数据库中插入数据 - RS

无法使用 java 7 中制作的应用程序访问 java 14 中制作的 web 服务

在Java中使用WireMock和SOAP Web服务

在Java中,如何在Web应用程序中动态重新加载资源包?

如何在 Java 中使用 RESTful Web 服务获取远程/客户端 IP 地址?