Dynamic SSL Keystore/Certificate selection

Question

Мое приложение является веб-провайдером, работающим на веб-сервере, а клиент веб-службы SOAP состоит из нескольких хранилищ ключей, специфичных для каждого клиента. Приложение должно быть перенесено в tomcat, и я поражен, так как мне нужно использовать разные сертификаты для установления соединения TLS с сервером back-end на основе входящего запроса клиента.

Я использую springboot и имею способ настройки хранилище ключей и доверенное лицо. Далее следуют ниже ссылке:

http://zoltanaltfatter.com/2016/04/30/soap-over-https-with-client-certificate-authentication/

Я хочу, чтобы установить сертификат/хранилище ключей во время выполнения на основе клиента. Для этого я подключаю Keystores и конфигурационные (клиентские) имена, чтобы я мог динамически использовать клиентское хранилище ключей. Но это что-то тесно связанное, каждый раз, когда у меня есть новый клиент, мне нужно создать запись для клиента и установить соответствующее хранилище ключей.

Но у меня был какой-то другой подход, скажем, я держу все сертификаты в одном хранилище ключей, как мы можем динамически обращаться к клиентскому сертификату?

Answer 1

Вы можете использовать хранилище ключей для управления всеми вашими клиентскими сертификатами, которые будут идентифицироваться псевдонимом.

По умолчанию KeyManager выберет первый сертификат в рукопожатии, поэтому перед созданием соединения нет необходимости создавать свой собственный X509KeyManager, чтобы указать псевдоним, который будет использоваться. См How I can tell alias of the wanted key-entry to SSLSocket before connecting?

KeyStore keystore = ... //The keystore with all your certificates 

//The keymanager for an specific connection 
KeyManagerFactory kmf= KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); 
kmf.init(keystore, password.toCharArray()); 

//Create a keyManager wrapper that returns the alias to use 
final X509KeyManager origKm = (X509KeyManager)kmf.getKeyManagers()[0]; 
X509KeyManager km = new X509KeyManager() { 
    public String chooseClientAlias(String[] keyType, Principal[] issuers, Socket socket) { 
     return "alias"; 
    } 

    public X509Certificate[] getCertificateChain(String alias) { 
     return origKm.getCertificateChain(alias); 
    } 

// override the rest of the methods delegating to origKm ... 
} 

Вводят новый keyManager в HttpsUrlConnectionMessageSender

HttpsUrlConnectionMessageSender messageSender = new HttpsUrlConnectionMessageSender(); 
//messageSender.setKeyManagers(keyManagerFactory.getKeyManagers()); 
messageSender.setKeyManagers(new KeyManager[] { km });