Руководство программиста ©2008-2011. Компания "лисси-крипто"

Введение 6

Возможности и преимущества 7

Криптографическая функциональность, доступная с JSSE 8

Стандартный API JSSE 9

Провайдер SunJSSE 9

Провайдер LirJSSE 9

Соответствующая документация 10

Документация Java Secure Socket Extension 10

Документация по безопасности платформы Java 10

Экспортные вопросы по криптографии 11

Документация по криптографии 11

Документация по Secure Sockets Layer 11

Термины и определения 13

Аутентификация 13

Шифр-сьют 13

Сертификат 13

Криптографическая хэш-функция 13

Криптографический сервис-провайдер 13

Цифровая подпись 13

Шифрование и расшифровка 14

Протокол рукопожатия 14

Согласование ключей 14

Обмен ключами 14

Ключевые и доверенные менеджеры 14

Ключевые и доверенные хранилища 14

Код аутентификации сообщения 15

Криптография с открытым ключом 15

Протокол записи 15

Криптография с секретным ключом 16

Сеанс 16

Доверенные менеджеры 16

Доверенное хранилище 16

Обзор протокола Secure Sockets Layer (SSL) 17

Стек протокола TCP/IP с SSL 17

Зачем использовать SSL? 17

Как работает SSL 18

Криптографические процессы 18

Процесс SSL 22

Протокол SSL 23

Ссылки по SSL и TLS 26

Основные классы 27

Отношения между классами 27

Классы и интерфейсы ядра 28

Классы SocketFactory и ServerSocketFactory 28

Классы SSLSocketFactory и SSLServerSocketFactory 29

Классы SSLSocket и SSLServerSocket 30

Неблокированный ввод-вывод с SSLEngine 30

SSLEngine 32

Первые шаги 32

Генерация и обработка данных SSL/TLS 33

Статус операций 35

Блокированные задачи 38

Завершение 38

Интерфейс SSLSession 39

Класс HttpsURLConnection 40

Вспомогательные классы и интерфейсы 41

Класс SSLContext 42

Интерфейс TrustManager 43

Класс TrustManagerFactory 43

Интерфейс X509TrustManager 46

Интерфейс KeyManager 49

Класс KeyManagerFactory 49

Интерфейс X509KeyManager 51

Отношения между TrustManagers и KeyManagers 51

Второстепенные вспомогательные классы и интерфейсы 51

Интерфейс SSLSessionContext 51

Интерфейс SSLSessionBindingListener 52

Класс SSLSessionBindingEvent 52

Интерфейс HandShakeCompletedListener 52

Класс HandShakeCompletedEvent 52

Интерфейс HostnameVerifier 52

Класс X509Certificate 53

Настройка JSSE 54

Установочная папка 54

Настройка 54

Как задать свойство java.lang.system 56

Как задать свойство java.security.Security 56

Настройка реализации X509Certificate 57

Задание альтернативной реализации протокола HTTPS 57

Настройка реализации провайдера 58

Настройка умалчиваемых ключевых и доверенных хранилищ, их типов и паролей 59

Настройка умалчиваемых ключевых и доверенных менеджеров 60

Настройка провайдеров алгоритмов шифрования 61

Замечание для тех, кто реализует провайдеры 62

JCE и аппаратная поддержка ускорения/смарткарт 63

Использование JCE 63

Аппаратные акселераторы 63

Конфигурирование JSSE для использования смарткарт в качестве ключевых и доверенных хранилищ 63

Использование нескольких хранилищ и динамических хранилищ 64

Шифр-сьюты Kerberos 65

Требования Kerberos 65

Информация о подлинности субъекта 66

Менеджер безопасности 67

Дополнительные форматы ключевых хранилищ (PKCS12) 68

Особенности реализации PKCS#12 в LirJSSE 68

Структура хранилища 70

Структура данных хранилища 70

Структура дайджеста хранилища 70

RSA: 70

70

ГОСТ: 70

70

Структура данных секретного ключа 71

Структура обернутого секретного ключа 71

RSA: 71

71

ГОСТ: 71

71

Идентификационные данные секретного ключа 72

Структура зашифрованной цепочки сертификатов 73

Структура параметров обертки цепочки сертификатов 73

RSA: 73

73

ГОСТ: 73

73

Помощь в затруднительных ситуациях 74

Проблемы конфигурирования 74

CertificateException: (во время рукопожатия) 74

java.security.KeyStoreException: TrustedCertEntry not supported 74

Исключение при выполнении: SSL Service Not Available 74

Исключение: "No available certificate corresponding to the SSL cipher suites which are enabled" 75

Исключение при выполнении: No Cipher Suites in Common 75

Замедление первого обращения к JSSE 76

Программа, использующая класс HttpsURLConnection, генерирует ClassCastException в JSSE 1.0.x 76

Отсоединение сокета после отправки сообщения ClientHello 77

SunJSSE не может найти провайдера JCA/JCE, поддерживающего требуемый алгоритм, и генерирует NoSuchAlgorithmException 77

Отладочные утилиты 78

Примеры 79

Примеры программ 80

Преобразование небезопасных сокетов в безопасные 80

Пример сокетов без SSL 80

Пример сокетов с SSL 81

Запуск примера программы JSSE 82

Где найти код примера 83

Пример программы, иллюстрирующей безопасное сокетное соединение между клиентом и сервером 83

Конфигурационные требования 84

Запуск SSLSocketClient 84

Запуск SSLSocketClientWithTunneling 85

Запуск SSLSocketClientWithClientAuth 85

Запуск ClassFileServer 85

Запуск SSLSocketClientWithClientAuth с ClassFileServer 86

Пример программы, иллюстрирующей соединения HTTPS 86

Запуск URLReader 87

Запуск URLReaderWithOptions 87

Пример клиентской программы для HTTPS 88

Пример программы, иллюстрирующей безопасное соединение RMI 90

Пример программы, иллюстрирующей использование SSLEngine 90

Запуск SSLEngineSimpleDemo 91

Запуск сервера NIO 91

Создание ключевого хранилища для использования с JSSE 92

Создание простых ключевых и доверенных хранилищ 92

Приложение A: Стандартные названия 95

Приложение B: Присоединение провайдеров 96