Java 中的客户端证书身份验证
Client Certificate authentication in Java
我需要使用智能卡登录网站。我可以从智能卡成功获取密钥库,其中包含用户的证书和不可导出的私钥(它是一个常规的 PrivateKey 对象,但是 "getEncoded" 方法 returns null)。
此站点:https://pst.giustizia.it/PST/authentication/it/pst_ar.wp
有一个登录 link,每次访问时都会更改。因此,正如用户所做的那样,我在我的 Java 应用程序中执行相同的操作:我访问该页面一次以获取 link,然后我对该 link 执行 SSL 身份验证(有点像模拟访问页面并单击该页面 link)。
这是我使用的代码:
public class SSLAuth
{
private static String LOGIN_PAGE = "https://pst.giustizia.it/PST/authentication/it/pst_ar.wp";
private static String USER_AGENT = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0";
private TrustStrategy trustStrategy = new TrustStrategy()
{
public boolean isTrusted(X509Certificate[] arg0, String arg1) throws CertificateException
{
// Temporary work-around. I already know how to fix this
return true;
}
};
public String authenticate(String pin) throws Exception
{
// Request KeyStore from smart card
KeyStore keyStore = Utility.digitalSigner.loadKeyStorePKCS11();
SSLContext sslContext = SSLContexts.custom().useProtocol("TLSv1.2").loadTrustMaterial(keyStore, trustStrategy).build();
// Get login token first
String loginToken = null;
{
Document document = Jsoup.connect(LOGIN_PAGE).ignoreContentType(true).userAgent(USER_AGENT).timeout(10000).followRedirects(true).get();
Elements link = document.select("div > fieldset > p > a");
loginToken = link.get(0).attr("abs:href");
}
// Try to authenticate
HttpClient httpClient = HttpClients.custom().setUserAgent(USER_AGENT).setSSLContext(sslContext).build();
HttpResponse response = httpClient.execute(new HttpGet(loginToken));
if (response.getStatusLine().getStatusCode() != HttpStatus.SC_OK)
return null;
return response.toString();
}
}
我只需要第一次验证,因为一旦登录,网站只检查一个名为 "JSESSIONID" 的 cookie 和客户端的用户代理字符串。我已经测试过了。获得这两个有效参数后,您甚至可以从其他浏览器访问该页面。
反正"loadKeyStorePKCS11"方法给你上面提到的keystore,里面有证书链(99%,可能100%都只有一个证书,因为我试了26张不同的智能卡,他们只有一个证书:用户的)和一个不可导出的私钥。
我试图在互联网上寻找解决方案,但它们都是关于 PKCS#12 的,我不需要这个。
我尝试使用不同的协议(SSL 和 TLS)和它的不同版本,但没有任何效果!
Firefox 可以进行智能卡身份验证,我确定我在这个过程中遗漏了一些东西!当我在 "httpClient" 对象上调用 "execute" 方法时,它给了我一个异常:"handshake_failure" (SSLHandshakeException).
如果我使用 "loadKeyMaterial" 而不是 "loadTrustMaterial",我会得到 "unsupported_certificate"。
我真的不知道此时我必须做什么!
你有什么建议吗?
提前致谢!
感谢您发布日志,我会把它作为一个答案,因为评论太多了。
简答:服务器要求提供客户端证书,而您没有或未配置为提供可接受的证书。
在您的日志中搜索:
main, READ: TLSv1 Handshake, length = 11296
*** CertificateRequest
Cert Types: RSA, DSS
Cert Authorities:
这是服务器要求您提供客户端证书。以下是可接受的 CA 列表。您的密钥库中必须有这些 CA 之一颁发的证书,并且必须在客户端为会话启用客户端证书。
日志的下一部分是这样的:
*** ServerHelloDone
Warning: no suitable certificate found - continuing without client
authentication
很遗憾,您似乎没有服务器可接受的证书,或者没有为客户端证书模式配置,这就是它切断您并中止握手的原因。
我需要使用智能卡登录网站。我可以从智能卡成功获取密钥库,其中包含用户的证书和不可导出的私钥(它是一个常规的 PrivateKey 对象,但是 "getEncoded" 方法 returns null)。
此站点:https://pst.giustizia.it/PST/authentication/it/pst_ar.wp 有一个登录 link,每次访问时都会更改。因此,正如用户所做的那样,我在我的 Java 应用程序中执行相同的操作:我访问该页面一次以获取 link,然后我对该 link 执行 SSL 身份验证(有点像模拟访问页面并单击该页面 link)。
这是我使用的代码:
public class SSLAuth
{
private static String LOGIN_PAGE = "https://pst.giustizia.it/PST/authentication/it/pst_ar.wp";
private static String USER_AGENT = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/25.0";
private TrustStrategy trustStrategy = new TrustStrategy()
{
public boolean isTrusted(X509Certificate[] arg0, String arg1) throws CertificateException
{
// Temporary work-around. I already know how to fix this
return true;
}
};
public String authenticate(String pin) throws Exception
{
// Request KeyStore from smart card
KeyStore keyStore = Utility.digitalSigner.loadKeyStorePKCS11();
SSLContext sslContext = SSLContexts.custom().useProtocol("TLSv1.2").loadTrustMaterial(keyStore, trustStrategy).build();
// Get login token first
String loginToken = null;
{
Document document = Jsoup.connect(LOGIN_PAGE).ignoreContentType(true).userAgent(USER_AGENT).timeout(10000).followRedirects(true).get();
Elements link = document.select("div > fieldset > p > a");
loginToken = link.get(0).attr("abs:href");
}
// Try to authenticate
HttpClient httpClient = HttpClients.custom().setUserAgent(USER_AGENT).setSSLContext(sslContext).build();
HttpResponse response = httpClient.execute(new HttpGet(loginToken));
if (response.getStatusLine().getStatusCode() != HttpStatus.SC_OK)
return null;
return response.toString();
}
}
我只需要第一次验证,因为一旦登录,网站只检查一个名为 "JSESSIONID" 的 cookie 和客户端的用户代理字符串。我已经测试过了。获得这两个有效参数后,您甚至可以从其他浏览器访问该页面。
反正"loadKeyStorePKCS11"方法给你上面提到的keystore,里面有证书链(99%,可能100%都只有一个证书,因为我试了26张不同的智能卡,他们只有一个证书:用户的)和一个不可导出的私钥。 我试图在互联网上寻找解决方案,但它们都是关于 PKCS#12 的,我不需要这个。
我尝试使用不同的协议(SSL 和 TLS)和它的不同版本,但没有任何效果!
Firefox 可以进行智能卡身份验证,我确定我在这个过程中遗漏了一些东西!当我在 "httpClient" 对象上调用 "execute" 方法时,它给了我一个异常:"handshake_failure" (SSLHandshakeException).
如果我使用 "loadKeyMaterial" 而不是 "loadTrustMaterial",我会得到 "unsupported_certificate"。
我真的不知道此时我必须做什么! 你有什么建议吗? 提前致谢!
感谢您发布日志,我会把它作为一个答案,因为评论太多了。
简答:服务器要求提供客户端证书,而您没有或未配置为提供可接受的证书。
在您的日志中搜索:
main, READ: TLSv1 Handshake, length = 11296
*** CertificateRequest
Cert Types: RSA, DSS
Cert Authorities:
这是服务器要求您提供客户端证书。以下是可接受的 CA 列表。您的密钥库中必须有这些 CA 之一颁发的证书,并且必须在客户端为会话启用客户端证书。
日志的下一部分是这样的:
*** ServerHelloDone
Warning: no suitable certificate found - continuing without client
authentication
很遗憾,您似乎没有服务器可接受的证书,或者没有为客户端证书模式配置,这就是它切断您并中止握手的原因。