public abstract class X509ExtendedTrustManager extends Object implements X509TrustManager
X509TrustManager
接口,支持SSL / TLS连接敏感信任管理。
为了防止中间人攻击,可以进行主机名检查,以验证终端实体证书中的主机名是否与目标主机名匹配。 TLS不需要这样的检查,但是一些TLS协议(如HTTPS)。 在早期版本的JDK中,证书链检查是在SSL / TLS层完成的,主机名验证检查是通过TLS完成的。 此类允许在单次调用此类时进行检查。
RFC 2830定义了“LDAPS”算法的服务器标识规范。 RFC 2818定义了“HTTPS”算法的服务器标识和客户端标识规范。
X509TrustManager
, HostnameVerifier
Constructor and Description |
---|
X509ExtendedTrustManager() |
Modifier and Type | Method and Description |
---|---|
abstract void |
checkClientTrusted(X509Certificate[] chain, String authType, Socket socket)
给定对等体提供的部分或完整证书链,根据认证类型和ssl参数构建和验证证书路径。
|
abstract void |
checkClientTrusted(X509Certificate[] chain, String authType, SSLEngine engine)
给定对等体提供的部分或完整证书链,根据认证类型和ssl参数构建和验证证书路径。
|
abstract void |
checkServerTrusted(X509Certificate[] chain, String authType, Socket socket)
给定对等体提供的部分或完整证书链,根据认证类型和ssl参数构建和验证证书路径。
|
abstract void |
checkServerTrusted(X509Certificate[] chain, String authType, SSLEngine engine)
给定对等体提供的部分或完整证书链,根据认证类型和ssl参数构建和验证证书路径。
|
clone, equals, finalize, getClass, hashCode, notify, notifyAll, toString, wait, wait, wait
checkClientTrusted, checkServerTrusted, getAcceptedIssuers
public abstract void checkClientTrusted(X509Certificate[] chain, String authType, Socket socket) throws CertificateException
验证类型由所使用的实际证书确定。 例如,如果使用RSAPublicKey,则authType应为“RSA”。 检查区分大小写。
如果socket
参数的实例SSLSocket
,和的端点识别算法SSLParameters
非空,以防止人在这方面的中间人攻击,该地址socket
连接到应该针对提出的同行的身份进行检查端终端识别算法中指定的终端实体X509证书。
如果socket
参数的实例SSLSocket
,和的算法约束SSLParameters
非空,在认证路径中的每个证书,领域,如主体公钥,签名算法,密钥使用,扩展密钥用法等。需要符合该套接字上的算法约束。
chain
- 对等证书链
authType
- 使用密钥交换算法
socket
- 用于此连接的套接字。
此参数可以为null,这表示实现不需要检查ssl参数
IllegalArgumentException
-如果null或零长度的数组被传递在用于
chain
参数,或者如果空或零长度字符串被传递在用于
authType
参数
CertificateException
- 如果证书链不被该TrustManager信任
SSLParameters.getEndpointIdentificationAlgorithm()
,
SSLParameters.setEndpointIdentificationAlgorithm(String)
,
SSLParameters.getAlgorithmConstraints()
,
SSLParameters.setAlgorithmConstraints(AlgorithmConstraints)
public abstract void checkServerTrusted(X509Certificate[] chain, String authType, Socket socket) throws CertificateException
认证类型是表示为字符串的密码套件的密钥交换算法部分,例如“RSA”,“DHE_DSS”。 注意:对于某些可导出的密码套件,密钥交换算法在握手期间在运行时确定。 例如,对于TLS_RSA_EXPORT_WITH_RC4_40_MD5,当使用短暂RSA密钥进行密钥交换时,authType应为RSA_EXPORT,当使用来自服务器证书的密钥时,authType应为RSA_EXPORT。 检查区分大小写。
如果socket
参数的实例SSLSocket
,和的端点识别算法SSLParameters
非空,以防止人在这方面的中间人攻击,该地址socket
连接到应该针对提出的同行的身份进行检查终端实体X509证书,如端点识别算法中指定的。
如果socket
参数的实例SSLSocket
,和的算法约束SSLParameters
非空,在认证路径中的每个证书,领域,如主体公钥,签名算法,密钥使用,扩展密钥用法等。需要符合该套接字上的算法约束。
chain
- 对等证书链
authType
- 使用密钥交换算法
socket
- 用于此连接的套接字。
此参数可以为null,这表示实现不需要检查ssl参数
IllegalArgumentException
-如果null或零长度的数组被传递在用于
chain
参数,或者如果空或零长度字符串被传递在用于
authType
参数
CertificateException
- 如果证书链不被该TrustManager信任
SSLParameters.getEndpointIdentificationAlgorithm()
,
SSLParameters.setEndpointIdentificationAlgorithm(String)
,
SSLParameters.getAlgorithmConstraints()
,
SSLParameters.setAlgorithmConstraints(AlgorithmConstraints)
public abstract void checkClientTrusted(X509Certificate[] chain, String authType, SSLEngine engine) throws CertificateException
验证类型由所使用的实际证书确定。 例如,如果使用RSAPublicKey,则authType应为“RSA”。 检查区分大小写。
如果engine
参数是可用的,和的端点识别算法SSLParameters
非空,以防止人在这方面的中间人攻击,该地址engine
连接到要反对在最终呈现体的身份进行检查实体X509证书,如端点识别算法中规定的。
如果engine
参数可用,并且SSLParameters的算法SSLParameters
是非空的,对于认证路径中的每个证书,诸如主题公钥,签名算法,密钥使用,扩展密钥使用等领域需要符合到这个引擎上的算法约束。
chain
- 对等证书链
authType
- 使用密钥交换算法
engine
- 用于此连接的引擎。
此参数可以为null,这表示实现不需要检查ssl参数
IllegalArgumentException
-如果null或零长度的数组被传递在用于
chain
参数,或者如果空或零长度字符串被传递在用于
authType
参数
CertificateException
- 如果证书链不被该TrustManager信任
SSLParameters.getEndpointIdentificationAlgorithm()
,
SSLParameters.setEndpointIdentificationAlgorithm(String)
,
SSLParameters.getAlgorithmConstraints()
,
SSLParameters.setAlgorithmConstraints(AlgorithmConstraints)
public abstract void checkServerTrusted(X509Certificate[] chain, String authType, SSLEngine engine) throws CertificateException
认证类型是表示为字符串的密码套件的密钥交换算法部分,例如“RSA”,“DHE_DSS”。 注意:对于某些可导出的密码套件,密钥交换算法在握手期间在运行时确定。 例如,对于TLS_RSA_EXPORT_WITH_RC4_40_MD5,当使用短暂RSA密钥进行密钥交换时,authType应为RSA_EXPORT,当使用来自服务器证书的密钥时,authType应为RSA_EXPORT。 检查区分大小写。
如果engine
参数是可用的,和的端点识别算法SSLParameters
非空,以防止人在这方面的中间人攻击,该地址engine
连接到要反对在最终呈现体的身份进行检查实体X509证书,如端点识别算法中规定的。
如果engine
参数可用,并且SSLParameters的算法SSLParameters
是非空的,对于认证路径中的每个证书,主题公钥,签名算法,密钥使用,扩展密钥使用等领域需要符合到这个引擎上的算法约束。
chain
- 对等证书链
authType
- 使用密钥交换算法
engine
- 用于此连接的引擎。
此参数可以为null,这表示实现不需要检查ssl参数
IllegalArgumentException
-如果null或零长度的数组被传递在用于
chain
参数,或者如果空或零长度字符串被传递在用于
authType
参数
CertificateException
- 如果证书链不被该TrustManager信任
SSLParameters.getEndpointIdentificationAlgorithm()
,
SSLParameters.setEndpointIdentificationAlgorithm(String)
,
SSLParameters.getAlgorithmConstraints()
,
SSLParameters.setAlgorithmConstraints(AlgorithmConstraints)