本章是HTTPS那些事儿的第二篇文章，其他相关文章请参见：前言
本篇主要描述JAVA中与HTTPS相关的概念与代码实现。

• JAVA中的证书
• KeyStore和TrustStore
• SSL层证书校验过程
• HttpsURLConnection

* 注意

本文纯手工打造，转载请注明出处。

JAVA中的证书

Java在JRE的安装目录中保存了一份默认可信的证书列表，这个列表保存在$JRE/lib/security/cacerts文件中，可以通过JRE自带的keytool工具打开该文件，默认密码为changeit。可以通过如下命令列出cacerts中的所有内容：

keytool -list -keystore cacerts

回车后可以看到如下内容：

cacerts内容

这里显示的是简略内容，如果需要查看RFC格式的输出，可以添加rfc参数，也就是：

keytool -list -rfc -keystore cacerts

还可以查看确定某一项的的详细信息，只需要加上-alias和-v参数即可。

KeyStore和TrustStore

我们所说的cacert文件其实是一个KeyStore文件，KeyStore文件可以存放数字证书、对称密钥等信息，这里所述的KeyStore只是一种文件格式。
java中的KeyStore这种文件可以分为两类：KeyStore和TrustStore。KeyStore保存私钥，在加解密、签名时使用。TrustStore保存可信任的证书，用于对被访问者进行认证。所以准确的来说cacerts文件其实应该属于TrustStore。
对应于KeyStore和TrustStore，Java中有两个类：KeyManager 和 TrustManager。在JSSE 的参考手册中有一张示意图，说明了java中https实现的各个类之间的关系：

java中SSL层类图

SSL/TSL层证书校验过程

知道了JAVA中的https相关的类之后，我们就可以来分析JAVA中的https认证过程了，https的认证过程其实就是SSL/TSL的认证过程。
1. 初始化阶段
初始化SSLContext时会将TrustStore中的所有证书加载进来。TrustManagerFactoryImpl.getCacertsKeyStore（）方法负责加载证书，首先查找$JRE/lib/security/jssecacerts文件是否存在，如果不存在则加载$JRE/lib/security/cacerts文件。如果都不存在，则使用空的TrustStore，这样的话不会有服务器的CA证书被校验通过。
2. 创建TrustManage
在TrustStore加载完毕后，会初始化TrustManager，默认使用实现类X509TrustManagerImpl。该类在构造方法中会调用KeyStores.getTrustedCerts(KeyStore)方法将TrustStore中的证书加载成X509Certificate证书。
3. checkServerTrusted
初始化后，客户端会与服务器端建立连接，然后进入Handshake过程，当拿到服务器端的CA证书时，会调用X509TrustManager. checkServerTrusted(…)方法，该方法完成实际的证书校验：
a).校验域名/IP
校验访问地址中的域名/IP（要么域名，要么IP）是否与服务器证书包含的一致，使用到HostnameChecker. match方法进行。如果访问使用的是域名，但服务器CA证书中没有包含域名，则抛出错误：

No subject alternative DNS name matching localhost found //其中localhost表示域名。

如果访问使用的是IP，但服务器CA证书中没有IP，则抛出错误：

No subject alternative names present

如果域名不匹配抛出错误：

No name matching localhost found //其中localhost表示域名。

如果IP不匹配，则抛出错误：

No subject alternative names matching IP address 127.0.0.1 found //其中127.0.0.1表示ip。

b). 服务器证书是否可信
通过加载的TrustStore证书来校验服务器的证书是否由信任的证书机构颁发，使用到方法PKIXValidator.engineValidate()。该校验过程如果失败，则抛出类似如下错误：

PKIX path building failed: 
        sun.security.provider.certpath.SunCertPathBuilderException: 
            unable to find valid certification path to requested target

HttpsUrlConnection

java中访问HTTP服务时，会使用到HttpURLConnection，而如果访问的是HTTPS则会使用HttpsURLConnection。相关类图如下：

Http相关类图

HostnameVerifier

根据上一小节SSL/TSL层证书校验过程所述，在SSL/TLS层面已经会校验hostname了，而在HTTPS层我们同样有HostnameVerifier来校验hostname，为什么呢？其实二者之间是合作关系，HTTPS层的会影响SSL/TLS层的逻辑，他们的关系可以通过如下表格来表示：

HTTPS与SSL层Hostname校验器关系

• EIA algorithm表示SSL/TLS层面的校验，SSL层面可以通过如下方法进行设置：

SSLParameters.setEndpointIdentificationAlgorithm(String)

可设置三个值null，HTTPS和LDAP/其他。

• HNV表示HTTPS层面的HostnameVerifier，HNV可以通过方法HttpsURLConnection.setDefaultHostnameVerifier(obj)进行设置，如果不设置则表中的值为defualt，如果设置了，则值为non-default。defualt的实现类为DefaultHostnameVerifier，该类为HttpsURLConnectionImpl的静态内部类。
  case1: default HNV and EIA is null
  结果是设置SSL/TSL层为HTTPS，仅由SSL/TLS层进行hostname校验（JDK中默认使用的是该规则）。
  case 2: default HNV and EIA is HTTPS
  结果是使用SSL/TSL层的值HTTPS，仅由SSL/TLS层进行hostname校验
  case 3: default HNV and EIA不是HTTPS
  结果是SSL/TLS层使用设置的值LDAP/其他进行校验，而hostname则在HTTPS层使用默认的DefaultHostnameVerifier校验
  case 4: non-default HNV and EIA is null
  SSL/TLS层不做任何校验，HTTPS层使用设置的HNV规则校验hostname
  case 5: non-default HNV and EIA is HTTPS
  结果是使用EIA algorithm的值，由SSL/TLS层进行hostname校验。该情况下不允许在HTTP层进行校验。
  case 6: non-default HNV and EIA不是HTTPS
  结果是SSL/TLS层使用设置的值LDAP/其他进行校验，而hostname则在HTTPS层使用设置的HNV规则校验hostname

SSLSocketFactory

SSLSocketFactory是负责SSL层面校验hostname、客户端证书和服务器证书的SSLSocket的工厂，默认情况下HttpsURLConnectionImpl中会获取默认的SSLSockectFactory，默认的factory会使用X509TrustManagerImpl来执行hostname和证书的校验，校验规则参考前一小节SSL/TSL层证书校验过程。

总结

本篇从java中TrustStore和KeyStore入手，深入到JAVA中的SSL和HTTPS相关实现类。分析了，java中比较核心的几个类。后续文章，会介绍java中使用HTTPS经常遇到的场景：不校验服务器证书。