English | 中文
腾讯Kona SSL是一个Java安全特性Provider实现,其Provider名称为KonaSSL。它基于OpenJDK的Java Secure Socket Extension(JSSE)框架实现了由国家标准GB/T 38636-2020规定的TLCP协议,并遵循RFC 8998规范将国密算法应用于TLS 1.3协议。
为了提供上述特性,KonaSSL实现了JDK定义的SSLContextSpi等Service Provider Interface(SPI)。
由于KonaSSL是基于JDK定义的标准SPI,所以在使用风格上,与使用JDK自带的同等特性(如SSLContext)是完全相同的。了解JDK的JSSE的编程风格,对于应用KonaSSL是非常在帮助的。请阅读官方的参考指南。
在使用KonaSSL中的任何特性之前,必须要进行加载KonaSSLProvider,同时也需要加载KonaCryptoProvider和KonaPKIXProvider,
Security.addProvider(new KonaCryptoProvider());
Security.addProvider(new KonaPKIXProvider());
Security.addProvider(new KonaSSLProvider());
上面的方法会将这三个Provider加到整个Provider列表的最后三位,其优先级则为最低。如有必要,可以使用下面的方法将它们插入到Provider列表的指定位置,
Security.insertProviderAt(new KonaCryptoProvider(), position1);
Security.insertProviderAt(new KonaPKIXProvider(), position2);
Security.insertProviderAt(new KonaSSLProvider(), position3);
position的值越小,代表的优先级越高,最小可为1。然而,并不推荐提升该Provider的优先级,故推荐使用Security.addProvider。
为了能利用上KonaSSL实现的国标TLCP协议和RFC 8998规范等特性,其关键就是让JDK的SSLSocket或SSLEngine能利用上KonaSSL实现的SSLContext实例。
KeyStore trustStore = <包含CA证书的密钥库文件>;
TrustManagerFactory tmf = TrustManagerFactory.getInstance("PKIX");
tmf.init(trustStore);
KeyStore keyStore = <包含终端实体证书的密钥库文件>;
KeyManagerFactory kmf = KeyManagerFactory.getInstance("NewSunX509");
kmf.init(keyStore, keyStorePassword);
SSLContext context = SSLContext.getInstance("TLCPv1.1");
context.init(kmf.getKeyManagers(), tmf.getTrustManagers(), new SecureRandom());
在创建SSLContext实例时,允许指定如下的Context Protocol:
- TLSv1.2,表示仅支持TLS 1.2协议。
- TLSv1.3,表示仅支持TLS 1.3协议。
- TLS,表示支持TLS 1.3和TLS 1.2协议。
- TLCPv1.1,表示仅支持TLCP 1.1协议。
- TLCP,表示支持TLCP 1.1,TLS 1.3和TLS 1.2协议。
请阅读SSLContext的官方参考指南,以便于能更深入地理解它。