在 Java 中以编程方式添加可信证书

Question

我使用 SSL 在两个用 Java 编写的组件之间进行通信。我无法使用 CA，所以我必须对所有内容进行自签名。不幸的是，这意味着当我尝试握手时，我收到 SunCertPathBuilderException。我可以创建自己的 X509TrustManager，它只信任一切，但这违背了拥有签名证书的目的。

我想在第一次建立连接时提示用户“证书无效的 SSL 握手。将证书添加到存储吗？”或者其他东西，以便他们可以将其添加到他们的证书存储中，就像网络浏览器在具有无效证书的网站上所做的那样。我可以在网上找到很多通过命令行向商店添加证书的示例，但我不知道如何以编程方式执行此操作。有办法做到这一点吗？

Answer 1

是的，这是可能的。

这里有一些代码我以前用过。我必须修改它才能做到我想要的，我怀疑你也会这样做，但这应该会让你接近 - 你不会尝试导入密钥，所以理论上你应该能够简化事情。无论如何，您都可以了解自己需要什么。

java.security.KeyStore 也非常有用。

Answer 2

为什么不创建自己的 CA 并用它签署您的证书呢？然后，您需要做的就是在计算机上安装 CA 自己的证书，并且该 CA 签名的每个证书都会得到验证。

Answer 3

为什么您需要这样做，您没有验证客户端是否是他们所说的人，您只是使用证书来加密通信，因此您只需要一个允许所有证书的自定义信任管理器。
您所要求的是可能的，并且从记忆中还涉及自定义信任管理器来验证证书并将其存储在密钥库中。我不记得细节了，但至少你知道这是可以做到的。