Https双向验证与Springboot整合测试-人来人往我只认你
1 简介
不知不觉Https相关的文章已经写了6篇了,本文将是这个专题的最后一篇,起码近期是最后一篇。前面6篇讲的全都是单向的Https验证,本文将重点介绍一下双向验证。有兴趣的同学可以了解一下之前的文章:
(0)Https专题
(1)Springboot整合https原来这么简单
(2)HTTPS之密钥知识与密钥工具Keytool和Keystore-Explorer
(3)Springboot以Tomcat为容器实现http重定向到https的两种方式
(4) Springboot以Jetty为容器实现http重定向到https
(5)nginx开启ssl并把http重定向到https的两种方式
(6)Springboot-WebFlux实现http重定向到https
双向验证是比较难的,能掌握双向验证,单向验证就没什么问题了。
2 单向验证与双向验证
2.1 概念和作用
所谓单向验证(One Way SSL),就是只有一方验证另一方是否合法,通常是客户端验证服务端。比如我们打开www.pkslow.com 这个网站,服务端不会验证客户端,只要你来我就欢迎。但客户端不一样,浏览器会验证这个网站是不是安全的,一般是通过CA颁发的SSL证书来验证。
而双向验证(Two Way SSL)则不同。不仅客户端需要验证服务端,服务端同样戒备心很重,也需要验证客户端是否是合法。
大家是否会有疑问,这么麻烦的双向验证有什么用?我们平常用单向验证不就已经足够了吗?单向验证虽然安全,但不够安全,使用双向验证可以只让特定的客户端访问,安全性会高一点。
另一方面,如果服务端没有做账户权限控制,但又想只限制特定的客户端访问,双向验证就非常有用,我只验证我相信的客户端,其它一概拒绝!这样即使我的服务暴露在网上,也不怕别人访问。既保证了安全,又省去了做权限控制的麻烦。
2.2 验证合法性
验证合法性通常是通过Trust Store。要求要把对方的cert装在自己的Trust Store里。
这就衍生出了一个之前没有讲过的概念:Trust Store。密钥文件可以存放私钥和公钥,具体一点来说是可以存放自己的私钥、自己的公钥和别人的公钥(也可以存放别人的私钥,但这不合理,私钥必须私有)。一般地我们把自己的(私钥和公钥)存放在Key Store里,而把别人的公钥存放在Trust Store里。
以Java程序为例,我们建立SSLContext时,需要生成KeyManager和TrustManager,对应的参数为javax.net.ssl.keyStore和javax.net.ssl.trustStore。而它们的作用正好体现了不同Store的作用:
TrustManager:决定对方来的cert是不是可信的;
KeyManager:决定自己发什么cert给对方。
如果我们不指定TrustStore,默认是$JAVA_HOME/jre/lib/security/cacerts文件。我们可以通过命令查看这个文件都有什么certs:
keytool -list -keystore cacerts2.3 单向验证的流程
单向验证的流程如下图所示:
建立连接的过程:
客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息;
服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书;
客户端使用服务端返回的信息验证服务器端的合法性,包括:
(1)证书是否过期 (2)颁发服务器证书的CA是否可靠 (3)返回的公钥是否能正确解开返回证书中的数字签名 (4)服务器证书上的域名是否和服务器的实际域名相匹配 验证通过后,将继续进行通信,否则,终止通信;
客户端向服务端发送自己所能支持的对称加密方案,供服务器端进行选择;
服务器端在客户端提供的加密方案中选择加密程度最高的加密方式;
服务器将选择好的加密方案通过明文方式返回给客户端;
客户端接收到服务端返回的加密方式后,使用该加密方式生成产生随机码,用作通信过程中对称加密的密钥,使用服务端返回的公钥进行加密,将加密后的随机码发送至服务器;
服务器收到客户端返回的加密信息后,使用自己的私钥进行解密,获取对称加密密钥。在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全。
2.4 双向验证的流程
双向验证的流程如下图所示:
建立连接的过程:
客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息;
服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书;
客户端使用服务端返回的信息验证服务器端的合法性,包括:
(1)证书是否过期 (2)颁发服务器证书的CA是否可靠 (3)返回的公钥是否能正确解开返回证书中的数字签名 (4)服务器证书上的域名是否和服务器的实际域名相匹配 验证通过后,将继续进行通信,否则,终止通信;
服务端要求客户端发送客户端的证书,客户端会将自己的证书发送至服务端;
验证客户端的证书,通过验证后,会获得客户端的公钥;
客户端向服务端发送自己所能支持的对称加密方案,供服务器端进行选择;
服务器端在客户端提供的加密方案中选择加密程度最高的加密方式;
将加密方案通过使用之前获取到的公钥进行加密,返回给客户端;
客户端收到服务端返回的加密方案密文后,使用自己的私钥进行解密,获取具体加密方式,而后,产生该加密方式的随机码,用作加密过程中的密钥,使用之前从服务端证书中获取到的公钥进行加密后,发送给服务端;
服务端收到客户端发送的消息后,使用自己的私钥进行解密,获取对称加密的密钥,在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全。
3 Springboot整合双向验证
理论知识讲完了,就来实战一下,Springboot是怎么整合双向验证的。
3.1 生成密钥文件
既然是双向验证,就需要双方的密钥,我们服务端称为localhost,而客户端称为client。需要生成双方的密钥文件,并把对方的cert导入自己的密钥文件里。整个过程如下:
注意:密码统一为changeit。
# 生成服务端密钥文件localhost.jks
keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore localhost.jks -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit# 导出服务端的cert文件
keytool -export -alias localhost -file localhost.cer -keystore localhost.jks# 生成客户端的密钥文件client.jks
keytool -genkey -alias client -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore client.jks -dname CN=client,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit# 导出客户端的cert文件
keytool -export -alias client -file client.cer -keystore client.jks# 把客户端的cert导入到服务端
keytool -import -alias client -file client.cer -keystore localhost.jks# 把服务端的cert导入到客户端
keytool -import -alias localhost -file localhost.cer -keystore client.jks# 检验服务端是否具有自己的private key和客户端的cert
keytool -list -keystore localhost.jks成功执行完上述步骤后,会生成4个文件:
服务端密钥文件: localhost.jks
服务端cert文件:localhost.cer
客户端密钥文件:client.jks
客户端cert文件:client.cer
实际上cert文件可以不要了,因为已经导入对方的Trust Store里面去了。也就是在文件localhost.jks里,包含了服务端的私钥、公钥还有客户端的公钥。client.jks同理。
3.2 配置Spirngboot
Springboot的配置文件如下:
server.port=443server.ssl.enabled=true
server.ssl.key-store-type=JKS
server.ssl.key-store=classpath:localhost.jks
server.ssl.key-store-password=changeit
server.ssl.key-alias=localhostserver.ssl.trust-store=classpath:localhost.jks
server.ssl.trust-store-password=changeit
server.ssl.trust-store-provider=SUN
server.ssl.trust-store-type=JKS
server.ssl.client-auth=need需要分别配置Key Store和Trust Store的文件、密码等信息,即使是同一个文件。
需要注意的是,server.ssl.client-auth有三个可配置的值:none、want和need。双向验证应该配置为need;none表示不验证客户端;want表示会验证,但不强制验证,即验证失败也可以成功建立连接。
3.3 用Postman测试双向验证
完成密钥文件准备和配置后,启动Springboot便可以了。这里用Postman访问如下:
无法建立https连接,无法访问。原因就是Postman作为客户端并没有合法的cert。
为了建立连接,应该要把客户端的密钥文件给Postman使用。因为JKS是Java的密钥文件格式,我们转换成通用的PKCS12格式如下:
# 转换JKS格式为P12
keytool -importkeystore -srckeystore client.jks -destkeystore client.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass changeit -deststorepass changeit -srckeypass changeit -destkeypass changeit -srcalias client -destalias client -noprompt把客户端密钥文件配置到Postman如下图所示:
再重新访问,成功了!
或者我们可以把密钥文件拆成private key和cert,命令如下:
# 导出客户端的cert文件
openssl pkcs12 -nokeys -in client.p12 -out client.pem# 导出客户端的key文件
openssl pkcs12 -nocerts -nodes -in client.p12 -out client.key把客户端的密钥文件配置到Postman上,如图所示:
结果一样是可以成功访问:
3.4 用curl命令测试
没有安装Postman怎么办呢?还好,用强大的curl命令也是可以测试的。命令如下:
curl -k --cert client.pem --key client.key https://localhost/hello
# 下面命令可以查看建立SSL连接详情
curl -v -k --cert client.pem --key client.key https://localhost/hello如果觉得指定两个文件太麻烦,可以只生成一个文件,命令如下:
openssl pkcs12 -nodes -in client.p12 -out client_all.pem则连接命令变成了:
# 需要指定密码
curl -k --cert client_all.pem:changeit https://localhost/hello4 总结
这篇文章讲解了单向验证和双向验证的区别及流程,并用实例展示如何实现双向验证,相信跟着做一遍,基本都能理解了。
参考资料:
Trust Store vs Key Store - creating with keytool
Keystore vs. Truststore
An Overview of One-Way SSL and Two-Way SSL
验证流程部分来自:Https单向认证和双向认证
欢迎访问南瓜慢说 www.pkslow.com获取更多精彩文章!
欢迎关注微信公众号<南瓜慢说>,将持续为你更新...
多读书,多分享;多写作,多整理。
Https双向验证与Springboot整合测试-人来人往我只认你相关推荐
- linux:Nginx+https双向验证(数字安全证书)
本文由邓亚运提供 Nginx+https双向验证 说明: 要想实现nginx的https,nginx必须启用http_ssl模块:在编译时加上--with-http_ssl_module参数就ok.另 ...
- Java nginx 双向ssl_使用Nginx实现HTTPS双向验证的方法
https单向验证应用广泛想必大家都很熟悉,我已经在一篇博文中分享过,这次来看看Nginx如何实现双向验证. 单向验证与双向验证的区别: 单向验证: 指客户端验证服务器端证书,服务器并不需要验证客户端 ...
- nginx配置https双向验证(ca机构证书+自签证书)
nginx配置https双向验证 服务端验证(ca机构证书) 客户端验证(服务器自签证书) 本文用的阿里云签发的免费证书实验,下载nginx安装ssl,文件夹有两个文件 这两个文件用于做服务器http ...
- Elasticsearch学习2 SpringBoot整合 测试复杂检索
文章目录 五.SpringBoot整合 1.基本步骤 2.保存数据 3.测试复杂检索 五.SpringBoot整合 选择Java High Level REST Client 官方文档:Java RE ...
- java https双向验证_java https双向认证证书
// 双向认证证书 KeyStore keyStore = KeyStore.getInstance("PKCS12"); KeyStore trustStore = KeySto ...
- HTTPS实战之单向验证和双向验证
转载自:https://mp.weixin.qq.com/s/UiGEzXoCn3F66NRz_T9crA 原创: 涛哥 coding涛 6月9日 作者对https 解释的入目三分啊 (全文太长,太懒 ...
- Tomcat服务器配置https双向认证,使用JDK的keytool生成证书(适用于web、安卓、IOS)
Tomcat服务器配置https双向认证,使用JDK的keytool生成证书(适用于web.安卓.IOS) 一.原理 1.HTTP:平时浏览网页时候使用的一种协议.HTTP协议传输的数据都是未加密的( ...
- Springboot整合SpringSecurity 04-启用登出logout功能
Springboot整合SpringSecurity 04-启用登出logout功能 前面Springboot整合SpringSecurity 02-使用自定义登陆页面我们讲过了SpringSecur ...
- SSL双向验证--keytool实现自签名证书
一.服务端 1. 生成密钥库 --- kserver.keystore 是给服务端用的,其中保存着自己的私钥 keytool -genkey -alias serverkey -keystore ./ ...
最新文章
- 对校招生培养工作的建议_高校学生会组织深化改革评估工作组对我校学生会复核验收...
- html 下拉框字体,怎么把select下拉菜单里的文字设置成左右滚动效果
- java if and_关于java:if语句中可以有两个条件吗
- java斗破苍穹游戏阵容,斗破苍穹手游竞技场阵容搭配解析 最强阵容你知道吗
- jboss mysql cluster_为JBoss AS 7配置Mysql数据源
- 2020最值得学习的12款python-web开发框架大盘点
- android numberpicker,NumberPicker实现滑动选择
- Percona XtraBackup 安装介绍篇
- Hibernate(一)——采用Hibernate框架开发环境搭建
- Java实现Excel中的NORMSDIST函数和NORMSINV函数
- 五分钟搭建起一个包含CRUD功能的JqGrid表格
- 04-初始mysql语句
- 测试笔记本续航的软件,日常应用对比测试_Intel笔记本电脑_笔记本评测-中关村在线...
- H5标签datalist
- 鸿蒙系统翻车了,华为鸿蒙系统“翻车了”?被质疑抄袭安卓11系统,事实并非如此...
- JAVA添加水印,平铺和斜对角线我都有!
- CenterNet算法代码剖析
- 十二时辰与时间对照表,十二经络时辰表
- 一篇文章读懂Armv8 AArch64
- Whistle使用手册
热门文章
- python自动登录教程_Python实现自动登录百度空间的方法,python自动登录
- 如何更规范化编写Java 代码
- 数据库触发器before和after
- 关于idea编译时提示 : 另一个程序正在使用此文件,进程无法访问; 问题修复记录
- 软件产品设计使用说明
- 扇形面积公式,这样验证起来秒懂!
- Flynn之Discoverd
- 2018年度‘龙虎榜’统计分析(一)
- com.alibaba.dubbo.rpc.RpcException: No provider available from registry。。。报错问题
- 贾扬清新公司Lepton AI曝光,ONNX联创、etcd作者加盟,产品内测中