ru.CryptoPro.ssl

Class JavaTLSKeyStoreParameter

java.lang.Object

ru.CryptoPro.ssl.JavaTLSKeyStoreParameter

All Implemented Interfaces:

javax.net.ssl.ManagerFactoryParameters

Direct Known Subclasses:

JavaTLSCertPathManagerParameters

public class JavaTLSKeyStoreParameter
extends java.lang.Object
implements javax.net.ssl.ManagerFactoryParameters

Класс JavaTLSKeyStoreParameter для управления параметрами KeyStore и пароля к нему. Позволяет задать поведение, нужно ли при создании дефолтного (static) контекста заново загружать контейнеры.

JCP-1425: используется в функции создания дефолтного контекста.
https://gitlab.cp.ru/java/jcp/-/issues/9

Сделано для android и его "белого" списка TLSContext и Java CSP.
См. примеры в ACSPClientApp для android.

Важно!

Известно, что настройки вида System.setProperty со свойствами типа javax.net.ssl.* (далее, просто System.setProperty) обычно используются для разовой настройки дефолтного (static) контекста SSLContext, который часто используют реализации TLS вроде HttpsURLConnection и т.д. в тех случаях, когда для них не задали явно иной SSLSocketFactory из SSLContext. Такой дефолтный (static) контекст будет создан один раз и далее может быть использован.

Что такое дефолтный (static) контекст? Это SSL контекст, создаваемый из system-параметров - тех, что задаются в System.setProperty(javax.net.ssl). Если таких параметров нет, то дефолтный (static) контекст использует некие дефолтные значения, например, HDIMAGE для типа хранилища и null для пароля.

Важно!

В случае, если пароль на контейнер не задан, пароль будет запрошен в окне CSP.
Есть несколько способов создать защищенный контекст:

• динамически, с помощью явных KeyManagerFactory, TrustManagerFactory, KeyStore, SSLContext и т.п.
• статически, с помощью свойств вида System.setProperty и вызова вида SSLContext.getDefault().

Самый простой и рекомендуемый способ: создавать контекст динамически(!) (например, такой подход применяется в функциях "белого" списка класса TLSContext, без пароля).
Менее очевидный и слабо контролируемый способ: HttpsURLConnection + свойства System.setProperty. Создается один контекст на весь процесс.
Гораздо сложнее: способ HttpsURLConnection + динамический контекст.

Дело в том, что у класса HttpsURLConnection есть особенность: хотя ему можно передать factory из динамического контекста, объект HttpsURLConnection все равно создаст дефолтный (static) контекст, полагаясь на свойства вида System.setProperty, которых их может не быть, например, если был создан динамический контекст и передан в HttpsURLConnection. Это создает некоторые проблемы.
Первый и второй способы создания контекста не рассматриваются, т.к. первый очевидным образом настраивает контекст, а второй всегда требует свойства:

System.setProperty("javax.net.ssl.keyStorePassword", keyPassword); // как минимум, есть этот параметр
System.setProperty("javax.net.ssl.keyStore", keyAlias); // может не быть

Такому дефолтному (static) контексту обычно известно о пароле (как минимум) и даже об алиасе ключа. Эти настройки задаются разово и распространяются на весь процесс. Согласно keyPassword начинается перебор всех подходящих контейнеров, а если задан keyAlias - то еще и по алиасу, что служит дополнительным фильтром и ощутимо сокращает число отобранных контейнеров, а также время перебора.

Чем плох способ HttpsURLConnection + динамический контекст?

В случае динамического контекста свойства System.setProperty закономерно не задаются, они излишни, ведь создан и передан динамический контекст, однако HttpsURLConnection все же пытается создать дефолтный (static) контекст, не располагая абсолютно никакими свойствами, что может привести к неконтролируемому появлению окон ввода пароля, который не был задан в качестве фильтра для контейнеров.
Поэтому лучше всего избегать использования HttpsURLConnection + динамический контекст, а лучше и самого HttpsURLConnection! Вместо него рекомендуется использовать apache http client, ok http и др. с явным созданием SSLContext без дефолтного (static) контекста и свойства для него.

Что делать, если HttpsURLConnection все-таки используется/нужен?

В этой ситуации, если создается динамический контекст и не заданы свойства System.setProperty, использование неполного дефолтного (static) контекста приведет к появлению окон CSP для ввода пароля для каждого(!) найденного контейнера, и, чем меньше фильтров в свойствах System.setProperty (а этих свойств может не быть вообще, если используется динамический контекст), тем окон больше.

Как убрать окна CSP для ввода пароля, если в HttpsURLConnection уже был передан динамический контекст?

Для контроля над дефолтным (static) контекстом добавлен параметр:
System.setProperty("disable_default_context", "false");
который задан по умолчанию со значением false.

Свойство disable_default_context определяет, будет ли загружен KeyStore при создании дефолтного контекста реализациями типа HttpsURLConnection или нет. По умолчанию оно false, т.е. загрузка KeyStore из дефолтного контекста включена. KeyStore, если System.setProperty не заданы, пустой.
Чтобы подавить окна в дефолтном (static) контексте, загрузку KeyStore в нем можно отключить:

System.setProperty("disable_default_context", "true");
ведь уже есть динамический контекст для HttpsURLConnection.

Свойство disable_default_context имеет значение, только если реализация TLS соединения действительно обращается к дефолтному контексту (ей нужен/не нужен KeyStore).

ru.CryptoPro.ssl.SSLContextImpl#DISABLE_DEFAULT_CONTEXT

Version:2.0

Constructor Summary

Constructors

Constructor and Description
JavaTLSKeyStoreParameter(java.security.KeyStore keyStore, char[] password, boolean fromDefaultContext) Конструктор.

Method Summary

Modifier and Type	Method and Description
java.security.KeyStore	getKeyStore() Получение ключевого хранилища.
char[]	getPassword() Получение пароля к ключевому хранилищу.
boolean	isFromDefaultContext() Проверка, происходит ли инициализация в функции дефолтного контекста.

Methods inherited from class java.lang.Object

equals, getClass, hashCode, notify, notifyAll, toString, wait, wait, wait

Constructor Detail

JavaTLSKeyStoreParameter

public JavaTLSKeyStoreParameter(java.security.KeyStore keyStore,
                                char[] password,
                                boolean fromDefaultContext)

Конструктор.

Parameters:

keyStore - Ключевое хранилище.

password - Пароль к ключевому хранилищу.

fromDefaultContext - True, если происходит инициализация в функции дефолтного контекста. создаются в функции дефолтного контекста.

Method Detail

getKeyStore

public java.security.KeyStore getKeyStore()

Получение ключевого хранилища.

Returns:

ключевое хранилище.

getPassword

public char[] getPassword()

Получение пароля к ключевому хранилищу.

Returns:

пароль к ключевому хранилищу.

isFromDefaultContext

public boolean isFromDefaultContext()

Проверка, происходит ли инициализация в функции дефолтного контекста.

Returns:

true, если параметры создаются в функции дефолтного контекста.