在 Java Web 服务器中使用 Letsencrypt 证书

Posted 2023-02-27

【中文标题】在 Java Web 服务器中使用 Letsencrypt 证书

【英文标题】：Using a letsencrypt certificate in a java web server

【发布时间】：2017-01-16 06:31:07

【问题描述】：

我选择使用acme4j 创建letsencrypt 证书。到目前为止，它似乎运行良好，我有一些创建注册的 java 代码，响应挑战，最终为我的域提供了 x509 证书（以及“证书链”）。该代码很好地集成到我的 java 应用程序中，并且不需要任何停机时间来更新证书。惊人的。

从这里我有点卡住了。我的应用程序只是一个 main 应用程序，它有一个嵌入的 undertow 网络服务器，我以编程方式对其进行实例化。为了创建一个 https 监听器，我需要创建一个 SSLContext 对象。我已将从letsencrypt 获得的x509 证书保存到磁盘，以便可以重复使用：

    ...
    X509Certificate x509 = cert.download();

    Path pemFile = pathTo(domain + ".pem");

    try (Writer writer = Files.newBufferedWriter(pemFile); JcaPEMWriter jcaPEMWriter = new JcaPEMWriter(writer)) 
        jcaPEMWriter.writeObject(x509);
    

然后在启动时，我的应用程序会重新加载该证书并将其传递到 undertow Web 服务器：

    CertificateFactory cf = CertificateFactory.getInstance("X.509");
    FileInputStream finStream = new FileInputStream(certFile.toFile());
    X509Certificate x509Certificate = (X509Certificate)cf.generateCertificate(finStream);

    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
    keyStore.load(null);
    keyStore.setCertificateEntry("someAlias", x509Certificate);

    TrustManagerFactory instance = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    instance.init(keyStore);

    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, instance.getTrustManagers(), null);
    SSLContext.setDefault(sslContext);

    Undertow.Builder builder = Undertow.builder();
    builder.addHttpsListener(httpsPort, ipAddress, sslContext);

应用程序启动后，看不到任何错误或警告，直到我尝试点击 Chrome 仅显示 _ERR_CONNECTION_CLOSED_ 的 https 端点。我打开-Djavax.net.debug=all 尝试看看发生了什么：

%% Initialized:  [Session-12, SSL_NULL_WITH_NULL_NULL]
XNIO-1 task-12, fatal error: 40: no cipher suites in common
javax.net.ssl.SSLHandshakeException: no cipher suites in common
%% Invalidated:  [Session-12, SSL_NULL_WITH_NULL_NULL]
XNIO-1 task-12, SEND TLSv1.1 ALERT:  fatal, description = handshake_failure
XNIO-1 task-12, WRITE: TLSv1.1 Alert, length = 2
XNIO-1 I/O-2, fatal: engine already closed.  Rethrowing javax.net.ssl.SSLHandshakeException: no cipher suites in common
XNIO-1 I/O-2, called closeInbound()
XNIO-1 I/O-2, fatal: engine already closed.  Rethrowing javax.net.ssl.SSLException: Inbound closed before receiving peer's close_notify: possible truncation attack?
2016-09-08 08:34:46,861 DEBUG [io] - UT005013: An IOException occurred
java.io.IOException: javax.net.ssl.SSLException: Inbound closed before receiving peer's close_notify: possible truncation attack?

我正在尝试在这里提出一个纯 Java 解决方案。在代码中可重复的东西，可以测试并签入源代码控制。如果可能的话，我想避免进行任何 jvm 外的机器级别设置。

经过大量的骇客和阅读后，似乎我需要使用keytool 和我颁发的证书的某种组合，连同我颁发的证书链，以及根证书和 some/none/所有中级letsencrypt 证书！认真的吗？

我尝试按照标题为“7.3.1.3。使用现有证书”的部分中的说明 here 进行操作，但结果却完全相同。

任何帮助将不胜感激。

【参考方案1】：

SSL/TLS 服务器（任何语言）需要一个私钥和证书（几乎总是一个证书链）而不仅仅是一个证书。 Java SSL/TLS 服务器需要 KeyManager 中的 privatekey+certchain 而不是 TrustManager——任何建议您只为 SSL/TLS 服务器设置 TrustManager 的建议都是完全不称职的。您链接到的第 7.3.1.3 节没有任何意义，尽管 next 节 7.3.1.4，尽管它声称有一个我从未见过的错误，而且我几乎使用了每个版本的 OpenSSL，确实描述了几乎将OpenSSL密钥+证书转换为Java的正确方法，这与前面描述的以OpenSSL格式创建密钥和证书的部分相匹配。但是你没有 OpenSSL 格式。

That acme4j page 正确地说你应该“生成一对单独的密钥”——这对意味着私有和公共——前面的“如何使用”页面告诉你如何处理他们的KeyPairUtils，然后生成一个 CSR 并发送它，并获得证书和链。它指定一个调用

X509Certificate[] chain = cert.downloadChain()

如果 LetsEncrypt 很聪明，这可能就是您所需要的；看看chain[0].getSubjectX500Principal()，看看是不是你。如果不是，您可能需要同时执行 download() 和 downloadChain() 并将它们与您的证书放在一个数组中：

X509Certificate[] fixchain = new X509Certificate [chain.length+1];
fixchain[0] = mycert; System.arraycopy (chain,0, fixchain,1, chain.length);
chain = fixchain; // for simplicity

一旦你有了证书链和密钥对，就可以做类似的事情

char[] password = /* some value, should be secure if used for file, 
    if used only in memory doesn't really matter */
KeyStore ks = KeyStore.getInstance("jks"/*or default if you don't care*/); 
ks.load (null); // above line and this same as you have now
ks.setKeyEntry ("alias", keypair.getPrivateKey(), password, chain);
// this line different -- KeyEntry not CertificateEntry

// if you want to save in a file for reuse
try( OutputStream os = new FileOutputStream ("blah") ) ks.store (os, password); 
// if you want to save somewhere else, extrapolate 

// if/when you want to run server
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(ks, password); // same password as above (or when stored)
// MAYBE TrustManager if you want to require certs FROM CLIENTS
// in which case the certs you trust probably shouldn't be limited to LetsEncrypt
SSLContext ctx = SSLContext.getInstance("TLS";
ctx.init(kmf.getKeyManagers(), null /*or tmf.getTrustManagers()*/, null);
SSLContext.setDefault (ctx); // or otherwise use ctx

仅供参考，如果证书实际上是您需要存储和读取的，则无需将其转换为 PEM，除非您希望人们剪切​​和粘贴等。Java CertificateFactory 已经处理了 DER 和 PEM 至少十年。