Elasticsearch：探索Java客户端8.0使用truststore与集群建立HTTPS连接的方法

在之前的文章“Elasticsearch：使用 Elasticsearch Java client 8.0 来连接带有 HTTPS 的集群”中，我们探讨了使用 token 的方式以及使用证书的方式来建立安全连接。而这篇文章将主要介绍如何使用truststore来在Java客户端中创建HTTPS连接。

首先，我们需要了解什么是truststore。Truststore是一个安全存储，其中包含了受信任的证书颁发机构（CA）的证书。当客户端使用HTTPS与服务器建立连接时，它需要验证服务器的证书是否由受信任的CA颁发。如果证书是由受信任的CA颁发的，那么客户端就会信任该证书并建立连接。

接下来，我们介绍如何创建和使用truststore。我们可以使用Java的keytool命令来创建truststore。具体步骤如下：

1. 打开命令提示符或终端窗口。
2. 导航到JDK的bin目录，通常位于“C:\Program Files\Java\jdk[JDK版本]\bin”或“/usr/local/java/jdk[JDK版本]/bin”下。
3. 输入以下命令来创建truststore：

keytool -importcert -alias rootca -file rootca.crt -keystore mytruststore.jks

其中，“rootca.crt”是CA颁发的根证书文件，“mytruststore.jks”是truststore文件的名称。

创建好truststore后，我们需要将其配置到Java客户端中。具体步骤如下：

1. 在代码中，首先导入必要的库：

import org.apache.http.ssl.SSLContextBuilder;
import org.apache.http.ssl.SSLSocketFactory;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManagerFactory;
import java.io.FileInputStream;
import java.security.KeyStore;

2. 加载truststore：

FileInputStream trustStoreStream = new FileInputStream("mytruststore.jks");
KeyStore trustStore = KeyStore.getInstance("JKS");
trustStore.load(trustStoreStream, "password".toCharArray());

3. 创建SSLContext：

TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init(trustStore);
SSLContext sslContext = SSLContextBuilder.create().loadTrustMaterial(trustManagerFactory).build();

4. 创建SSLSocketFactory：

SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();

5. 将SSLSocketFactory配置到客户端：

RestHighLevelClient client = new RestHighLevelClient(RestClient.builder(HttpHost.create("https://localhost:9200"))
                .setSSLSocketFactory(sslSocketFactory)
                .build());

使用truststore来建立HTTPS连接不仅可以提高安全性，而且还可以简化配置过程。通过使用truststore，我们可以避免手动配置每个CA的证书，从而节省时间和精力。

最后，我们提供了一些示例代码来说明如何使用truststore来建立HTTPS连接。这些示例代码可以在GitHub上找到。