在 Java 中选择 SSL 客户端证书

配置是通过 SSLContext 完成的，它实际上是 SSLSocketFactory （或 SSLEngine ）的工厂。默认情况下，这将从 javax.net.ssl.* 属性进行配置。此外，当服务器请求证书时，它会发送 TLS/SSL CertificateRequest 消息，其中包含它愿意接受的 CA 专有名称列表。虽然这个列表严格来说只是指示性的（即服务器可以接受来自不在列表中的颁发者的证书或者可以拒绝来自列表中的 CA 的有效证书），但它通常以这种方式工作。

默认情况下，在 X509KeyManager 中配置的证书选择器 SSLContext （同样你通常不必担心），将选择已颁发的证书之一列表中的一个（或者可以链接到那里的发行人）。该列表是 issuers 中的参数 X509KeyManager.chooseClientAlias （ alias 是密钥库的别名，您希望在证书中引用）。如果您有多个候选人，您还可以使用 socket 参数，如果这有助于做出选择，它将为您提供对等方的 IP 地址。

如果这有帮助，您可能会发现使用 jSSLutils（及其包装器） 来配置 SSLContext （这些主要是构建 SSLContext 的帮助程序类）。 （注意这个例子是选择服务器端的别名，但是可以适配， 源代码可用。）

完成此操作后，您应该在 Axis 中查找有关 axis.socketSecureFactory 系统属性（和 SecureSocketFactory ）的文档。如果您查看 Axis 源代码，构建一个 org.apache.axis.components.net.SunJSSESocketFactory 应该不会太难，它是从您选择的 SSLContext 初始化的（参见 这个问题）。

刚意识到你在谈论 Axis2，其中 SecureSocketFactory 似乎已经消失了。您也许可以使用默认值 SSLContext 找到解决方法，但这会影响您的整个应用程序（这不是很好）。如果您使用 jSSLutils 的 X509KeyManagerWrapper，您可能能够使用默认值 X509KeyManager 并且仅将某些主机视为例外。 （这不是理想情况，我不确定如何在 Axis 2 中使用自定义 SSLContext / SSLSocketFactory 。）

或者，根据 此 Axis 2 文档，Axis 2 似乎使用 Apache HTTP Client 3.x：

如果要执行 SSL 客户端身份验证（2 向 SSL），可以使用 HttpClient 的 Protocol.registerProtocol 功能。您可以覆盖“https”协议，或者如果您不想与常规 https 混淆，则可以为 SSL 客户端身份验证通信使用不同的协议。在 http://jakarta.apache.org/commons/httpclient/sslguide.html 找到更多信息

在这种情况下， SslContextedSecureProtocolSocketFactory 应该可以帮助您配置 SSLContext 。

原文由 Bruno 发布，翻译遵循 CC BY-SA 3.0 许可协议