我想知道我是否能够像下面的命令一样使用 curl 建立连接,
curl --cacert some.pem https://someurl.com/resource
如何将其转换为 httpclient 代码?我知道我需要转换 pem 文件并创建一个新的密钥库等。但是所有这些 openssl、keytool 命令、密钥库、信任库都让我感到困惑,我不知道该使用哪个以及按什么顺序使用。
【问题讨论】:
标签: java ssl httpclient keytool jks
您需要从 PEM 文件创建一个密钥库(您将用作信任库)。这可以按如下方式完成。
keytool -import -file cacert.pem -alias myca -keystore truststore.jks
然后您需要将此密钥库用作信任库。
如果您只想为特定连接执行此操作,请关注this answer。
如果您想对应用程序中的所有连接(或至少不更改默认值的连接)执行此操作,您可以使用javax.net.ssl.trustStore(及相关)系统属性(请参阅Customization section of the JSSE Reference Guide)。如果您想为整个应用程序执行此操作,问题是默认的受信任 CA 将不包括在内。解决此问题的一种简单方法是复制与 JRE 捆绑在一起的 cacerts 文件,并将其用作 truststore.jks 的起点。
或者,您可以将证书直接导入到全局 cacerts 文件中,但这将使该证书默认在此 JRE 上运行的所有应用程序上受信任。
(您还可以在this answer 中找到更多关于 keystore 和 truststore 的区别。)
【讨论】: