HTTPS（二）之JAVA中HTTPS那些事儿

本篇主要描述JAVA中与HTTPS相关的概念与代码实现。

• JAVA中的证书
• KeyStore和TrustStore
• SSL层证书校验过程
• HttpsURLConnection

JAVA中的证书

Java在JRE的安装目录中保存了一份默认可信的证书列表，这个列表保存在$JRE/lib/security/cacerts文件中，可以通过JRE自带的keytool工具打开该文件，默认密码为changeit。可以通过如下命令列出cacerts中的所有内容：

keytool -list -keystore cacerts

回车后可以看到如下内容：

这里显示的是简略内容，如果需要查看RFC格式的输出，可以添加rfc参数，也就是：

keytool -list -rfc -keystore cacerts

还可以查看确定某一项的的详细信息，只需要加上-alias和-v参数即可。

KeyStore和TrustStore

我们所说的cacert文件其实是一个KeyStore文件，KeyStore文件可以存放数字证书、对称密钥等信息，这里所述的KeyStore只是一种文件格式。
java中的KeyStore这种文件可以分为两类：KeyStore和TrustStore。KeyStore保存私钥，在加解密、签名时使用。TrustStore保存可信任的证书，用于对被访问者进行认证。所以准确的来说cacerts文件其实应该属于TrustStore。
对应于KeyStore和TrustStore，Java中有两个类：KeyManager 和 TrustManager。在JSSE 的参考手册中有一张示意图，说明了java中https实现的各个类之间的关系：
java中SSL层类图

可以看出如果要进行 SSL 会话，必须得新建一个 SSLSocket 对象，而 SSLSocket 对象是通过 SSLSocketFactory 来管理的，SSLSocketFactory 对象则依赖于 SSLContext ，SSLContext 对象又依赖于 keyManager、TrustManager 和 SecureRandom。而这里面的TrustManager就是负责对网站进行认证，校验其CA证书是否合法的。
SSL/TSL层证书校验过程
知道了JAVA中的https相关的类之后，我们就可以来分析JAVA中的https认证过程了，https的认证过程其实就是SSL/TSL的认证过程。

1. 初始化阶段

初始化SSLContext时会将TrustStore中的所有证书加载进来。TrustManagerFactoryImpl.getCacertsKeyStore（）方法负责加载证书，首先查找$JRE/lib/security/jssecacerts文件是否存在，如果不存在则加载$JRE/lib/security/cacerts文件。如果都不存在，则使用空的TrustStore，这样的话不会有服务器的CA证书被校验通过。

2. 创建TrustManage

在TrustStore加载完毕后，会初始化TrustManager，默认使用实现类X509TrustManagerImpl。该类在构造方法中会调用KeyStores.getTrustedCerts(KeyStore)方法将TrustStore中的证书加载成X509Certificate证书。

3. checkServerTrusted

初始化后，客户端会与服务器端建立连接，然后进入Handshake过程，当拿到服务器端的CA证书时，会调用X509TrustManager. checkServerTrusted(…)方法，该方法完成实际的证书校验：

a).校验域名/IP

校验访问地址中的域名/IP（要么域名，要么IP）是否与服务器证书包含的一致，使用到HostnameChecker. match方法进行。如果访问使用的是域名，但服务器CA证书中没有包含域名，则抛出错误：

No subject alternative DNS name matching localhost found //其中localhost表示域名。

如果访问使用的是IP，但服务器CA证书中没有IP，则抛出错误：

No subject alternative names present

如果域名不匹配抛出错误：

No name matching localhost found //其中localhost表示域名。

如果IP不匹配，则抛出错误：

No subject alternative names matching IP address 127.0.0.1 found //其中127.0.0.1表示ip。

b). 服务器证书是否可信

通过加载的TrustStore证书来校验服务器的证书是否由信任的证书机构颁发，使用到方法PKIXValidator.engineValidate()。该校验过程如果失败，则抛出类似如下错误：

PKIX path building failed: 
        sun.security.provider.certpath.SunCertPathBuilderException: 
            unable to find valid certification path to requested target

HttpsUrlConnection

java中访问HTTP服务时，会使用到HttpURLConnection，而如果访问的是HTTPS则会使用HttpsURLConnection。相关类图如下：
Http相关类图

可以看出如果访问的是Http，则使用HttpURLConnection，该类使用HttpClient完成实际的网络请求。如果访问的是HTTPS，则会使用HttpsURLConnection，同样会使用对应的HttpsClient。HttpsURLConnection的实现类HttpsURLConnectionImpl中会使用到两个类，HostnameVerifier和SSLSocketFactory。这两个类是实现HTTPS请求的核心，通过配置这两个类可以影响SSL层校验域名/IP和服务器证书校验的过程。可以通过HttpsURLConnection.SetDefaultSSLSocketFactory和HttpsURLConnection.SetDefaultHostnameVerifier来设置，后续会有代码示例。

HostnameVerifier

根据上一小节SSL/TSL层证书校验过程所述，在SSL/TLS层面已经会校验hostname了，而在HTTPS层我们同样有HostnameVerifier来校验hostname，为什么呢？其实二者之间是合作关系，HTTPS层的会影响SSL/TLS层的逻辑，他们的关系可以通过如下表格来表示：
HTTPS与SSL层Hostname校验器关系
EIA algorithm表示SSL/TLS层面的校验，SSL层面可以通过如下方法进行设置：
SSLParameters.setEndpointIdentificationAlgorithm(String)
可设置三个值null，HTTPS和LDAP/其他。

HNV表示HTTPS层面的HostnameVerifier，HNV可以通过方法HttpsURLConnection.setDefaultHostnameVerifier(obj)进行设置，如果不设置则表中的值为defualt，如果设置了，则值为non-default。defualt的实现类为DefaultHostnameVerifier，该类为HttpsURLConnectionImpl的静态内部类。

case1: default HNV and EIA is null

结果是设置SSL/TSL层为HTTPS，仅由SSL/TLS层进行hostname校验（JDK中默认使用的是该规则）。

case 2: default HNV and EIA is HTTPS

结果是使用SSL/TSL层的值HTTPS，仅由SSL/TLS层进行hostname校验

case 3: default HNV and EIA不是HTTPS

结果是SSL/TLS层使用设置的值LDAP/其他进行校验，而hostname则在HTTPS层使用默认的DefaultHostnameVerifier校验

case 4: non-default HNV and EIA is null

SSL/TLS层不做任何校验，HTTPS层使用设置的HNV规则校验hostname

case 5: non-default HNV and EIA is HTTPS

结果是使用EIA algorithm的值，由SSL/TLS层进行hostname校验。该情况下不允许在HTTP层进行校验。

case 6: non-default HNV and EIA不是HTTPS

结果是SSL/TLS层使用设置的值LDAP/其他进行校验，而hostname则在HTTPS层使用设置的HNV规则校验hostname
SSLSocketFactory
SSLSocketFactory是负责SSL层面校验hostname、客户端证书和服务器证书的SSLSocket的工厂，默认情况下HttpsURLConnectionImpl中会获取默认的SSLSockectFactory，默认的factory会使用X509TrustManagerImpl来执行hostname和证书的校验，校验规则参考前一小节SSL/TSL层证书校验过程。

总结

本篇从java中TrustStore和KeyStore入手，深入到JAVA中的SSL和HTTPS相关实现类。分析了，java中比较核心的几个类。后续文章，会介绍java中使用HTTPS经常遇到的场景：不校验服务器证书。

本文系转载博文，作者信息如下：
作者：雪落孤村
链接：https://www.jianshu.com/p/20180ca83012