Netty SSL 主机名验证支持

Question

据我所知，没有“标志”或配置设置可用于在 Netty 中启用 SSL 主机名验证。我见过的示例使用 SslHandler.handshake() 返回的 ChannelFuture 添加自定义实现：

ChannelFuture handshakeFuture = sslHandler.handshake();
handshakeFuture.addListener(new ChannelFutureListener()
{
    public void operationComplete(ChannelFuture future) throws Exception
    {
        if (future.isSuccess())
        {
            // get peer certs, verify CN (or SAN extension, or..?) against requested domain
            ...

我只是想确保我在正确的轨道上，并且我没有错过一种简单地“启用”主机名验证的方法。

Answer 1

如果您使用的是 Java 7，您可以通过配置 SSLSocket 或 SSLEngine 通过默认信任管理器为您执行此操作。 （这与 Netty 无关。）

这样的事情应该可以工作：

SSLContext sslContext = SSLContext.getDefault();
SSLEngine sslEngine = sslContext.createSSLEngine();

SSLParameters sslParams = new SSLParameters();
sslParams.setEndpointIdentificationAlgorithm("HTTPS");
sslEngine.setSSLParameters(sslParams);

SSLEngine 实例可以作为参数传递给SslHandler 构造函数，如this example 中所述。

端点识别算法可以是 HTTPS 或 LDAP。对于其他协议，HTTPS 规则应该是相当合理的。

（您当然可以通过使用错误的主机名连接到该主机来检查它是否有效，例如使用带有 IP 地址而不是主机名的 URL，假设证书不包含主题备用名称它的 IP 地址条目。）