HttpClient 双向认证

功能背景

最近我们项目很多依赖API纷纷上Azure,通过Azure的Application Gateway 服务进行负载均衡处理切采用双向认证。因此我们就需要考虑证书的出示与信任问题，捣鼓了好久，在我差点儿要吐的情况下……还好成功解决了。

角色介绍

1. 服务器： Azure Gateway
2. 客户端： HttpClient

因为是我们请求Azure Gateway 服务从而请求对应API，所以其就是Server端，相对应的我们就是Client端。

服务器端证书获取

直接在浏览器中访问Gateway URL ，即可获取服务器端证书。详细步骤参考我的文章网站证书获取

Gateway 信任客户端证书

好了，到此我们已经有了服务器端的证书，我们可以信任服务器端证书，那么我们还需要准备我们的证书给Gateway信任，这样彼此信任方为双向认证嘛。^ -^

OpenSSL对d证书文件处理

到目前为止，我们与Gateway彼此信任，就可以通信了。 但是如果要使用HttpClient还需要一些处理。这里我们使用OpenSSL(关于OpenSSL有时间我另写一篇介绍)对证书进行处理。

证书文件生成JKS文件

在OpenSSL中使用下面的命令

Server端证书处理

keytool -import -alias csdncert -keystore trustkeystore.jks -file D:/csdn.cer -storepass changeit

Client端证书处理

Client端证书有一点比较特殊，我们需要使用我们的私钥。

openssl pkcs12 -export -name myservercert -in myserver.cer –inkey myserver.key -out myserver.p12

证书文件生成P12文件

在OpenSSL中使用下面的命令

Server端证书处理

keytool -importkeystore -destkeystore trustkeystore.jks -srckeystore trustkeystore.p12 -srcstoretype pkcs12 -alias trustkeystore

Client端证书处理

Client端证书有一点比较特殊，我们需要使用我们的私钥。

keytool -importkeystore -destkeystore myserver.jks -srckeystore myserver.p12 -srcstoretype pkcs12 -alias myserver

HttpClient双向认证（Mutual Authentication ）实现

 public static String doPostJsonWithMutualSSL(String url, String params,String certSystemName) throws Exception{

        RequestConfig config = RequestConfig.custom().setConnectTimeout(3000)
                .setSocketTimeout(3000).build();
        SSLContext sslContext = buildSSLContextForWAS();
        SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(
                sslContext, new String[] { "TLSv1.2", "TLSv1.1", "TLSv1" }, null,
                SSLConnectionSocketFactory.getDefaultHostnameVerifier());
        CloseableHttpClient client = HttpClients.custom().setSSLSocketFactory(sslConnectionSocketFactory)
                .setDefaultRequestConfig(config).build();
        HttpPost httpPost = new HttpPost(url);
        //httpPost.setHeaders(headers);
        httpPost.setHeader("Content-Type", "application/json; charset=utf-8");
        httpPost.setHeader("Accept", "application/json");
        httpPost.setEntity(new StringEntity(params, Charset
                .forName("UTF-8")));
        System.out.println("Access Endpoint: "+ url);
        System.out.println("Request Parameters : "+ params.toString());

        HttpResponse response = client.execute(httpPost);
        HttpEntity responseEntity = response.getEntity();
        String result = EntityUtils.toString(responseEntity, "UTF-8"); // 接口转码

        int responseCode = response.getStatusLine().getStatusCode();
        System.out.println("Response Code: "+responseCode);
        System.out.println("Content:-\n"+result);

        return result;
    }
  private static SSLContext buildSSLContextForSystem(){


        FileInputStream identityKeyStoreFile = null;
        FileInputStream trustKeyStoreFile = null;
        SSLContext sslContext = null;
        KeyManagerFactory keyManagerFactory = null;

        try {
            KeyStore identityKeyStore = KeyStore.getInstance("jks");
            identityKeyStoreFile = new FileInputStream("D:\\myserver.jks");
            identityKeyStore.load(identityKeyStoreFile, "changeit".toCharArray());

            KeyStore trustKeyStore = KeyStore.getInstance("jks");
            trustKeyStoreFile = new FileInputStream("D:\\trustkeystore.jks");
            trustKeyStore.load(trustKeyStoreFile, "changeit".toCharArray());


            sslContext = SSLContexts.custom()
                    // load identity keystore
                    .loadKeyMaterial(identityKeyStore, "changeit".toCharArray(), new PrivateKeyStrategy() {
                        @Override
                        public String chooseAlias(Map<String, PrivateKeyDetails> aliases, java.net.Socket socket) {

                            return "csdncert"; //truststore中client证书别名
                        }
                    })
                    // load trust keystore
                    .loadTrustMaterial(trustKeyStore, null)
                    // all trust
                    // .loadTrustMaterial(null, (chain, authType) -> true)
                    .build();
        } catch (Exception ex) {
            System.out.println("build sslContext error:"+ ex);
        } finally {
            try {
                if (identityKeyStoreFile != null) {
                    identityKeyStoreFile.close();
                }
                if (trustKeyStoreFile != null) {
                    trustKeyStoreFile.close();
                }
            } catch (Exception fe) {
                System.out.println("Filestream close error: "+fe);
            }
        }
        return sslContext;
    }

WebSphere中的特殊处理

在WebSphere中对应的keystore为p12文件，具体路径可以查看SSL certificate and key management > Key stores and certificates

Gateway server端证书

服务器端证书需要导入DefaultTrustStore，如果是Cluster请导入CellDefaultTrustStore中。

客户端证书

对于客户端证书我们可以导入到任意truststore中，我是将其导入到SSL certificate and key management > Key stores and certificates > NodeDefaultTrustStore > Personal certificates

需要私钥以及client证书生成p12文件，参考上面的client端证书生成p12


这里的Alias很重要，上面代码中，loadKeyMaterial中chooseAlias返回的就是这个名称。