使用自签名Certs和SSLEngine (JSSE)的SSL握手

Question

我的任务是实现一个自定义/独立的Java non服务器，它可以在同一个端口上处理SSL和非SSL消息。

我已经实现了一个NIO服务器，它对非SSL请求很好地工作。我正在享受一段时间的SSL片段，并可能真的需要一些指导。

以下是我迄今所做的工作。

为了区分SSL消息和非SSL消息，我检查入站请求的第一个字节，看看它是否是SSL/TLS消息。示例：

   byte a = read(buf);
   if (totalBytesRead==1 && (a>19 && a<25)){
       parseTLS(buf);
   }

在parseTLS()方法中，我实例化了如下所示的SSLEngine：

   java.security.KeyStore ks = java.security.KeyStore.getInstance("JKS");
   java.security.KeyStore ts = java.security.KeyStore.getInstance("JKS");

   ks.load(new java.io.FileInputStream(keyStoreFile), passphrase);
   ts.load(new java.io.FileInputStream(trustStoreFile), passphrase);

   KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
   kmf.init(ks, passphrase);

   TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
   tmf.init(ts);

   SSLContext sslc = SSLContext.getInstance("TLS");     
   sslc.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);


   SSLEngine serverEngine = sslc.createSSLEngine();
   serverEngine.setUseClientMode(false);
   serverEngine.setEnableSessionCreation(true);
   serverEngine.setWantClientAuth(true);

一旦实例化了SSLEngine，我就直接使用官方JSSE Samples中的代码使用解包装/包装方法处理入站数据。

   log("----");

   serverResult = serverEngine.unwrap(inNetData, inAppData);
   log("server unwrap: ", serverResult);
   runDelegatedTasks(serverResult, serverEngine);

   log("----");

   serverResult = serverEngine.wrap(outAppData, outNetData);
   log("server wrap: ", serverResult);
   runDelegatedTasks(serverResult, serverEngine);

握手的第一部分似乎效果很好。客户端发送握手消息，服务器用4条记录响应消息：

handshake (22)
- server_hello (2) 
- certificate (11) 
- server_key_exchange (12)
- certificate_request (13) 
- server_hello_done (14)

接下来，客户端发送一条包含三个部分的消息：

handshake (22)
 - certificate (11)
 - client_key_exchange (16)

change_cipher_spec (20)
 - client_hello (1)

handshake (22)
 *** Encrypted Message ****

SSLEngine解包装客户端请求并解析记录，但是with方法生成0字节，握手状态为OK/ request _NEED。换句话说，我没有什么可以寄回给客户的，握手也就停止了。

这就是我被困的地方。

在调试器中，我可以看到SSLEngine，特别是ServerHandshaker，没有找到任何对等证书。当我查看来自客户端的证书记录时，这是相当明显的，它的长度为0字节。但是为什么呢？

我只能假设HelloServer的响应有问题，但我似乎不能指手画脚。服务器似乎正在发送有效的证书，但客户端没有发回任何内容。我的密钥库有问题吗？还是信任库？还是它与我实例化SSLEngine的方式有关？我很困惑。

还有几点：

上面的代码片段中引用的密钥库和信任存储库http://www.techbrainwave.com/?p=953

• I'm是使用以下教程创建的：使用Firefox10和IE9作为客户机来测试服务器。
• i使用的是Sun/Oracle 6和它附带的JSSE扩展(JSSE)。

我期待任何您可能有指导，但请不要告诉我，我是疯子，或使用Netty或灰熊或其他现有的解决方案。这在这个时候是没有选择的。我只想知道我做错了什么。

提前谢谢！

Answer 1

你有NEED_UNWRAP，那就解开它吧。这反过来可能会给您BUFFER_UNDERFLOW，这意味着您必须进行读取并重新尝试展开。

类似地，当您获得NEED_WRAP时，执行一个包装:这反过来可能会给您BUFFER_OVERFLOW，这意味着您必须执行写并重试包装。

该包装或展开可能反过来可能会告诉您执行另一项操作:包装或展开。

照它说的去做。