用J2SE 1.4 进行 Internet 安全编程（二）

核心提示：导出和导入证书为了解释清楚如何输出和输入证书，我会使用我自己的 HTTPS 服务器，用J2SE 1.4 进行 Internet 安全编程（二），这个服务器在第一部分中讨论过，然后，既然我们使用 URL 类，你就能在命令行指定 URL，跟着下面的内容开始：1、运行 HTTPS 服务器，像在第一部分中讨论的那样

　　导出和导入证书
　　
　　为了解释清楚如何输出和输入证书，我会使用我自己的 HTTPS 服务器。这个服务器在第一部分中讨论过。然后，跟着下面的内容开始：
　　
　　1、运行 HTTPS 服务器，像在第一部分中讨论的那样。
　　
　　2、运行 ReadHttpsURL1：java ReadHttpsURL1 localhost。你同样会得到上面所述的异常。
　　
　　3、使用下面的 keytool 命令导出服务器证书：
　　
　　o 从 serverkeys 文件中导出别名为 qusay 的证书
　　
　　o 将导出的证书保存在 server.cert 文件中，这个文件会由 keytool 创建
　　
　　如你看到的那样，我根据要求输入了密码。成功输入密码之后，服务器证书被成功的导出并保存在 server.cert 中。
　　
　　Prompt> keytool -eXPort -keystore serverkeys -alias qusay -file server.cert
　　
　　Enter keystore passWord: hellothere
　　
　　Certificate stored in file
　　
　　4、将文件 server.cert 拷贝到 ReadHttpsURL1 所在的目录。使用 keytool 创建一个新的 keystore 并将服务器的 server.cert 证书导入其中。这里的命令示例：
　　
　　Prompt> keytool -import -keystore trustedcerts -alias qusay -file server.cert
　　
　　这个命令会产生下面那样的输出。它要求输入密码，这是一个新的密码，用于 trustedcerts 这个 keystore 的。这个 keystore 由 keytool 创建。在输出信息的最后，它询问我是否愿意相信这个证书，我回答 yes。
　　
　　Enter keystore password: clientpass
　　
　　Owner: CN=localhost, OU=Training and Consulting, O=javacourses.com, L=Toronto, ST=Ontario, C=CA
　　
　　Issuer: CN=localhost, OU=Training and Consulting, O=javacourses.com, L=Toronto, ST=Ontario, C=CA
　　
　　Serial number: 3dcf988a
　　
　　Valid from: Mon Nov 11 06:46:18 EST 2002 until: Sun Feb 09 06:46:18 EST 2003
　　
　　Certificate fingerPRints:
　　
　　 md5: 37:35:4D:3A:2B:7E:B5:09:A5:41:B3:FA:E4:3C:1D:C4
　　
　　 SHA1: CB:7C:77:36:79:A2:37:26:E2:98:61:C2:9D:10:50:69:
　　
　　 99:F9:B9:1B
　　
　　Trust this certificate? [no]: yes
　　
　　Certificate was added to keystore
　　
　　5、现在运行 ReadHttpsURL1 并告诉它哪里能找到证书。使用下面的命令：
　　
　　Prompt> java -Djavax.net.ssl.trustStore=trustedcerts ReadHttpsURL1 localhost
　　
　　这将会与你的 HTTPS 服务器联接、校验证书，假如正确，它会下载默认页面 index.Html。
　　
　　--------------------------------------------------------------------------------
　　
　　注重：信任治理器负责决定远端的证书是否值得信任。它使用下面的规则：
　　
　　1、假如 javax.net.sll.trustStore 系统属性指定了信任库，那么信任治理器会使用提供的文件来检查证书。假如那个系统属性存在但指定的文件不存在，那么就没有使用任何信任库，会抛出一个 CertificateException 异常。
　　
　　2、假如 javax.net.sll.trustStore 系统属性没有定义，那么它会去寻找默认的信任库：
　　
　　o 假如在你的 java.home 目录的 lib/security 子目录下存在名为 jssecacerts 的信任库，那么使用的就是它。
　　
　　o 假如 jssecacerts 不存在，但是 cacerts 存在 (它随 J2SDK 一起发行，含有数量有限的可信任的基本证书)，使用的就是 cacerts。
　　
　　在我的 windows 2000 客户机中，java.home 目录是 c:\Program File\java\jre1.4.1\lib\security，在上例中，假如你将 trustedcerts 更名为 jssecacerts 并将其移动到 lib/security 子目录中，那么你以后就不需要在命令行指定 javax.net.ssl.trustStore 属性了。
　　
　　假如你不知道 java.home 在哪里，这里有一小段代码可以让你找到它：
　　
　　public class FindJavaHome {
　　
　　 public static void main(String argv[]) {
　　
　　 System.out.println(System.getProperty("java.home"));
　　
　　 }
　　
　　}
　　
　　--------------------------------------------------------------------------------
　　
　　URL 类
　　
　　示例代码 1 中的 ReadHttpsURL1 使用低层的套接字打开到 SSL 服务器的连接。这样做有一个缺点，假如不进行一番解析，我们就不能在命令行清楚的写出像 https://www.jam.ca 这样的 URL。这里有一个更简单的办法在客户端应用程序中使用 SSL 和 JSSE。
　　
　　java.net.URL 类支持 HTTPS 地址。例如，下面的代码段创建一个 HTTPS 地址并建立一个输入流的读入器：
　　
　　URL url = new URL("https://www.sun.com");
　　
　　BufferedReader in
　　
　　 = new BufferedReader(new InputStreamReader(url.openStream()));
　　
　　是不是很简单？我希望当你学习 Java 的新东西时，你能欣赏到它的美好之处。
　　
　　示例代码 1 中的 ReadHttpsURL1 可以由下面使用了 URL 类的示例代码 2 代替：
　　
　　示例代码 2：ReadHttpsURL2.java
　　
　　import java.net.*;
　　
　　import java.io.*;
　　
　　 public class ReadHttpsURL2 {
　　
　　 public static void main(String argv[]) throws Exception {
　　
　　 if(argv.length != 1) {
　　
　　 System.out.println("Usage: java ReadHttpsURL2 ");
　　
　　 System.exit(0);
　　
　　 }
　　
　　 URL url = new URL(argv[0]);
　　
　　 BufferedReader in
　　
　　 = new BufferedReader(new InputStreamReader(url.openStream()));
　　
　　 String line;
　　
　　 StringBuffer sb = new StringBuffer();
　　
　　 while ((line = in.readLine()) != null) {
　　
　　 sb.append(line);
　　
　　 }
　　
　　 in.close();
　　
　　 System.out.println(sb.toString());
　　
　　 }
　　
　　}
　　
　　假如你想试试 ReadHttpsURL2，执行它的命令和上面讨论的类似。注重，无论如何，既然我们使用 URL 类，你就能在命令行指定 URL，包括协议的名称。这里是一个例子：
　　
　　Prompt> java ReadHttpsURL2 https://localhost