Programaticamente Obter KeyStore do PEM
Como um programa pode obter um KeyStore de um arquivo PEM contendo um certificado e uma chave privada? Eu estou tentando fornecer um certificado de cliente para um servidor em uma conexão HTTPS. Confirmei que o certificado do cliente funciona se eu usar o openssl e o keytool para obter um arquivo jks, que carrego dinamicamente. Eu posso até fazê-lo funcionar lendo dinamicamente em um arquivo p12 (PKCS12).
Eu estou olhando para usar a classe PEMReader de BouncyCastle, mas não consigo passar alguns erros. Estou executando o cliente Java com a opção -Djavax.net.debug = all e o servidor da web Apache com o LogLevel de depuração. Não tenho certeza o que procurar embora. O log de erros do Apache indica:
...
OpenSSL: Write: SSLv3 read client certificate B
OpenSSL: Exit: error in SSLv3 read client certificate B
Re-negotiation handshake failed: Not accepted by client!?
O programa cliente Java indica:
...
main, WRITE: TLSv1 Handshake, length = 48
main, waiting for close_notify or alert: state 3
main, Exception while waiting for close java.net.SocketException: Software caused connection abort: recv failed
main, handling exception: java.net.SocketException: Software caused connection abort: recv failed
%% Invalidated: [Session-3, TLS_RSA_WITH_AES_128_CBC_SHA]
main, SEND TLSv1 ALERT: fatal, description = unexpected_message
...
O código do cliente:
public void testClientCertPEM() throws Exception {
String requestURL = "https://mydomain/authtest";
String pemPath = "C:/Users/myusername/Desktop/client.pem";
HttpsURLConnection con;
URL url = new URL(requestURL);
con = (HttpsURLConnection) url.openConnection();
con.setSSLSocketFactory(getSocketFactoryFromPEM(pemPath));
con.setRequestMethod("GET");
con.setDoInput(true);
con.setDoOutput(false);
con.connect();
String line;
BufferedReader reader = new BufferedReader(new InputStreamReader(con.getInputStream()));
while((line = reader.readLine()) != null) {
System.out.println(line);
}
reader.close();
con.disconnect();
}
public SSLSocketFactory getSocketFactoryFromPEM(String pemPath) throws Exception {
Security.addProvider(new BouncyCastleProvider());
SSLContext context = SSLContext.getInstance("TLS");
PEMReader reader = new PEMReader(new FileReader(pemPath));
X509Certificate cert = (X509Certificate) reader.readObject();
KeyStore keystore = KeyStore.getInstance("JKS");
keystore.load(null);
keystore.setCertificateEntry("alias", cert);
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
kmf.init(keystore, null);
KeyManager[] km = kmf.getKeyManagers();
context.init(km, null, null);
return context.getSocketFactory();
}
Percebi que o servidor está emitindo SSLv3 no log enquanto o cliente é TLSv1. Se eu adicionar a propriedade do sistema -Dhttps.protocols = SSLv3, o cliente usará o SSLv3 também, mas recebo a mesma mensagem de erro. Eu também tentei adicionar -Dsun.security.ssl.allowUnsafeRenegotiation = true sem alteração no resultado.
Eu pesquisei e a resposta usual para essa pergunta é usar openssl e keytool primeiro. No meu caso, preciso ler o PEM diretamente na hora. Na verdade, estou portando um programa em C ++ que já faz isso e, francamente, estou muito surpreso com o quão difícil é fazer isso em Java. O código C ++:
curlpp::Easy request;
...
request.setOpt(new Options::Url(myurl));
request.setOpt(new Options::SslVerifyPeer(false));
request.setOpt(new Options::SslCertType("PEM"));
request.setOpt(new Options::SslCert(cert));
request.perform();