Como faço para recuperar um certificado de servidor SSL não confiável para revisar e confiar nele?

Question

May 14, 2012, 04:52 AM

Como faço para recuperar um certificado de servidor SSL não confiável para revisar e confiar nele?

Meu problema:

Eu quero ligar para servidores (não limitado ao protocolo HTTPS - poderia ser LDAP-over-SSL, poderia ser SMTPS, poderia ser IMAPS, etc.) que pode estar usando certificados que Java não confiará por padrão (porque eles são auto-assinado).

O fluxo de trabalho desejado é tentar a conexão, recuperar as informações do certificado, apresentar isso ao usuário e, se ele aceitar, adicioná-lo ao armazenamento confiável, para que seja confiável daqui para frente.

Eu estou preso em recuperar o certificado. Eu tenho código (veja no final do post) que eu tenho aqui e de sites apontados por respostas a perguntas sobre o java SSL. O código simplesmente cria umSSLSocket, inicia o handshake SSL e solicita a sessão SSL para oCertificate[]. O código funciona bem quando estou conectando a um servidor usando um certificado já confiável. Mas quando me conecto a um servidor usando um certificado auto-assinado, recebo o usual:

<code>Exception in thread "main" javax.net.ssl.SSLHandshakeException: 
   sun.security.validator.ValidatorException: PKIX path building failed:
   sun.security.provider.certpath.SunCertPathBuilderException: unable to 
   find valid certification path to requested target
        at sun.security.ssl.Alerts.getSSLException(Unknown Source)
        at sun.security.ssl.SSLSocketImpl.fatal(Unknown Source)
        at sun.security.ssl.Handshaker.fatalSE(Unknown Source)
        at sun.security.ssl.Handshaker.fatalSE(Unknown Source)
        at sun.security.ssl.ClientHandshaker.serverCertificate(Unknown Source)
        [etc]
</code>

Se eu correr com-Djavax.net.debug=all Vejo que a JVM recupera o certificado autoassinado, mas explodirá a conexão para usar um certificado não confiável antes de chegar ao ponto em que ele retornará os certificados.

Parece um problema de galinha e ovo. Não vai me deixar ver os certificados porque eles não são confiáveis. Mas preciso ver os certificados para poder adicioná-los ao truststore para que eles sejam confiáveis. Como você sai disso?

Por exemplo, se eu executar o programa como:

<code>java SSLTest www.google.com 443
</code>

Recebo uma cópia dos certificados que o Google está usando. Mas se eu correr como

<code>java SSLTest my.imap.server 993
</code>

Eu recebo a exceção mencionada acima.

O código:

<code>import java.io.InputStream;
import java.io.OutputStream;
import java.security.cert.*;
import javax.net.SocketFactory;
import javax.net.ssl.*;

public class SSLTest
{
    public static void main(String[] args) throws Exception {
        if (args.length != 2) {
            System.err.println("Usage: SSLTest host port");
            return;
        }

        String host = args[0];
        int port = Integer.parseInt(args[1]);

        SocketFactory factory = SSLSocketFactory.getDefault();
        SSLSocket socket = (SSLSocket) factory.createSocket(host, port);

        socket.startHandshake();

        Certificate[] certs = socket.getSession().getPeerCertificates();

        System.out.println("Certs retrieved: " + certs.length);
        for (Certificate cert : certs) {
            System.out.println("Certificate is: " + cert);
            if(cert instanceof X509Certificate) {
                try {
                    ( (X509Certificate) cert).checkValidity();
                    System.out.println("Certificate is active for current date");
                } catch(CertificateExpiredException cee) {
                    System.out.println("Certificate is expired");
                }
            }
        }
    }
}
</code>