SSL-клиент - когда нужен сертификат?

Question

у меня есть это:

SSLSocketFactory factory = HttpsURLConnection.getDefaultSSLSocketFactory(); 
    SSLSocket socket = (SSLSocket) factory.createSocket("www.verisign.com", 443); 

Это провал на 2-й линии с «Connection отказался» ошибку.

Теперь, нужно ли мне установить сертификат verisign в моем магазине доверия, прежде чем я смогу даже сделать выше? У меня создалось впечатление, что я могу подключиться к серверу SSL и выполнить getPeerCertificates(), чтобы получить сертификаты. Это не то, что делают наши браузеры? В противном случае, как они узнают, какие полномочия подписываться?

(Очевидно, я использую Verisign. Например, мой реальный URL слишком Fugly использовать здесь ...)

Answer 1

Отклонено соединение означает, что ничто не слушает в целевом хосте: порт или брандмауэр мешают. Это логично и временно до того, как что-либо делает SSL.

Answer 2

Вы проверили, что удаленный сервис на самом деле и работает, и что вы можете подключиться к нему? Возможно, ошибка «Connection reject» на самом деле является отказоустойчивым соединением. :-)

Answer 3

Обычно вам не нужно устанавливать сертификат сервера на свой компьютер явно. PKI работает таким образом, что ваша система должна иметь возможность проверять сертификат сервера без каких-либо предварительных знаний об этом. Однако это будет работать только тогда, когда сертификат вашего сервера имеет свои корни в «известных ЦС», то есть в службах сертификации, чьи корневые или другие сертификаты уже указаны в клиентской системе. Если это не так (например, у вас есть самозаверяющий или какой-либо другой пользовательский сертификат на сервере), вам действительно нужно установить сертификат в своей клиентской системе, прежде чем указанные классы смогут правильно проверить сертификат сервера.

Вы можете прочитать about certificates and how they are used in SSL here.