【ssl认证、证书】SSL双向认证java实战、keytool创建证书
文章目录
- 概述
- keytool示例
- 参考
相关文章:
//-----------Java SSL begin----------------------
【ssl认证、证书】SSL双向认证和SSL单向认证的区别(示意图)
【ssl认证、证书】java中的ssl语法API说明(SSLContext)、与keytool 工具的联系
【ssl认证、证书】SSL双向认证java实战、keytool创建证书
【ssl认证、证书】Wireshark抓包分析
【ssl认证、证书】 查看keystore文件内容
//------------Java SSL end--------------------------
//-----------下面的是CA证书和openssl相关的知识--------------
【ssl认证、证书】TLS/SSL双向认证概念、openssl genrsa示例
【ssl认证、证书】openssl genrsa 命令详解
【ssl认证、证书】SSL 证书基本概念、证书格式、openssl和keytool的区别
概述
注意keytool的命令,版本有所不同 【ssl认证、证书】keytool genkey和genkeypair的区别和联系
本篇的代码示例原理参见 【ssl认证、证书】java中的ssl连接、keytool,结合一起看
keytool示例
模拟场景:
Server端和Client端通信,需要进行授权和身份的验证,即Client只能接受Server的消息,Server只能接受Client的消息。
实现技术:
JSSE(Java Security Socket Extension)
是Sun为了解决在Internet上的安全通讯而推出的解决方案。它实现了SSL和TSL(传输层安全)协议。在JSSE中包含了数据加密,服务器验证,消息完整性和客户端验证等技术。通过使用JSSE,开发人员可以在客户机和服务器之间通过TCP/IP协议安全地传输数据
为了实现消息认证。
Server需要:
1)KeyStore: 其中保存服务端的私钥
2)Trust KeyStore:其中保存客户端的授权证书
同样,Client需要:
1)KeyStore:其中保存客户端的私钥
2)Trust KeyStore:其中保存服务端的授权证书的副本,功能类似白名单,用于判断对端传送过来的证书是否合法,只有在tks的证书判定有效,否则直接拒绝连接。
我们可以使用Java自带的keytool命令,去生成这样信息文件
1)生成服务端私钥,并且导入到服务端KeyStore文件中
严格来说,此时生成的是密钥对,即私钥和公钥都在这个文件中,然后后续可以通过Import导出证书(证书内含有公钥)
keytool -genkey -alias serverkey -keystore kserver.keystore
过程中,分别需要填写,根据需求自己设置就行
keystore密码:123456
名字和姓氏:stone
组织单位名称:eulic
组织名称:eulic
城市或区域名称:HZ
州或省份名称:ZJ
国家代码:CN
serverkey私钥的密码,不填写和keystore的密码一致:123456
就可以生成kserver.keystore文件
server.keystore是给服务端用的,其中保存着自己的私钥
2)根据私钥,导出服务端证书(含公钥)
这也就是为什么说kserver.keystore中含有公钥信息的原因
keytool -export -alias serverkey -keystore kserver.keystore -file server.crt
server.crt就是服务端的证书
3)将服务端证书,导入到客户端的Trust KeyStore中
keytool -import -alias serverkey -file server.crt -keystore tclient.keystore
tclient.keystore是给客户端用的,其中保存着受信任的证书
采用同样的方法,生成客户端的私钥,客户端的证书,并且导入到服务端的Trust KeyStore中
1)keytool -genkey -alias clientkey -keystore kclient.keystore
2)keytool -export -alias clientkey -keystore kclient.keystore -file client.crt
3)keytool -import -alias clientkey -file client.crt -keystore tserver.keystore
如此一来,生成的文件分成两组
服务端保存:kserver.keystore tserver.keystore
客户端保存:kclient.keystore tclient.kyestore
接下来,就采用JSSE,分别生成SSLServerSocket,SSLSocket
服务端,生成SSLServerSocket代码:
SSLContext ctx = SSLContext.getInstance("SSL");KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");KeyStore ks = KeyStore.getInstance("JKS");
KeyStore tks = KeyStore.getInstance("JKS");ks.load(new FileInputStream("data/kserver.keystore"), SERVER_KEY_STORE_PASSWORD.toCharArray());
tks.load(new FileInputStream("data/tserver.keystore"), SERVER_TRUST_KEY_STORE_PASSWORD.toCharArray());kmf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());
tmf.init(tks);ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);serverSocket = (SSLServerSocket) ctx.getServerSocketFactory().createServerSocket(DEFAULT_PORT);
serverSocket.setNeedClientAuth(true);
注意:在server端,必须设置setNeedClientAuth(true)才是真的开启双向认证,否则本质上仍是单向认证。
客户端,生成SSLSocket的代码,大同小异:
SSLContext ctx = SSLContext.getInstance("SSL");KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");KeyStore ks = KeyStore.getInstance("JKS");
KeyStore tks = KeyStore.getInstance("JKS");ks.load(new FileInputStream("data/kclient.keystore"), CLIENT_KEY_STORE_PASSWORD.toCharArray());
tks.load(new FileInputStream("data/tclient.keystore"), CLIENT_TRUST_KEY_STORE_PASSWORD.toCharArray());kmf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray());
tmf.init(tks);ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);return (SSLSocket) ctx.getSocketFactory().createSocket(DEFAULT_HOST, DEFAULT_PORT);
如此,就完成了服务端和客户端之间的基于身份认证的交互。
client采用kclient.keystore中的clientkey私钥进行数据加密,发送给server
server采用tserver.keystore中的client.crt证书(包含了clientkey的公钥)对数据解密,如果解密成功,证明消息来自client,进行逻辑处理
server采用kserver.keystore中的serverkey私钥进行数据加密,发送给client
client采用tclient.keystore中的server.crt证书(包含了serverkey的公钥)对数据解密,如果解密成功,证明消息来自server,进行逻辑处理
如果过程中,解密失败,那么证明消息来源错误。不进行逻辑处理。这样就完成了双向的身份认证。
启动服务端的时候:
- 先在CMD中采用telnet 127.0.0.1 7777连接,发现连接成功,但在发送消息后,连接立马断点,因为此时客户端没有证书;
- 再启动客户端程序,发现连接正常,并能交互消息
完整示例参见 study-ssl
参考
SSL双向认证java实现
【ssl认证、证书】SSL双向认证java实战、keytool创建证书相关推荐
- ssl证书CA双向认证完整实现步骤(附java客户端代码)(好文章!)
一.基础概念 注:以下概念除专业名词外,均为个人理解,不具备权威性. 1.什么是系统安全管理 置于公网的系统,通常都需要一定的安全管理,据我个人理解,这里的安全管理主要分三个方面: 一是应用内的权限控 ...
- android webview单向认证,android 让webview支持自签名证书https 双向认证(SSL)
最近完成一个项目,安全级别比较高.所以涉及到https双向认证,在网上找了很多资料都没有完美的解决方案.最后参考了org.sandrob.sslexample的实现方式,结合实际情况才完成该技术难题, ...
- nginx配置ssl加密(单双向认证、部分https)
nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番.一开始采用的是全站加密,所有访问http:80的请求强制转换( ...
- 使用wireshark观察SSL/TLS握手过程--双向认证/单向认证
SSL/TLS握手过程可以分成两种类型: 1)SSL/TLS 双向认证,就是双方都会互相认证,也就是两者之间将会交换证书. 2)SSL/TLS 单向认证,客户端会认证服务器端身份,而服务器端不会去对客 ...
- nginx配置SSL实现服务器/客户端双向认证
http://blog.csdn.net/kunoy/article/details/8239653 本人不才,配置了两天,终于搞出来了,结合网上诸多博文,特此总结一下! 配置环境: Ubuntu 1 ...
- httos双向认证配置_https双向认证配置
https 双向认证配置: 1.生成服务器端密钥库 : keytool -genkey -keyalg RSA -dname "cn=rtsm.nfcstore.com.cn,ou=a,o= ...
- java中Keytool生成证书
任何机构或者个人都可以申请数字证书,并使用数字证书对网络通信保驾护航.要获得数字证书,首先需要使用数字证书管理工具,如keytool.OpenSSL等,然后构建CSR(Certificate Sigi ...
- Java使用keytool创建CA证书
keytool是一个密钥和证书管理工具 1.keytool工具位置 keytool工具在 JDK 的安装目录的 bin 目录下面 2.keytool工具命令展示 打开命令行进入 bin 目录,然后输入 ...
- JMeter业务实现1:使用SSL Manager实现https双向认证
一.SSL Manager用于导入客户端的证书,之前查资料时,网上有些文章说用SSL Manager导入服务器证书,和官方解释不符. Apache JMeter - User's Manual: Co ...
最新文章
- boost::program_options模块实现使用命令行和配置文件的测试程序
- 怎么进行mysql注入测试_MySQL for Java的SQL注入测试
- 十二、dbms_logmnr(分析重做日志和归档日志)
- ZOJ 3747 Attack on Titans
- AGG第十八课 agg::trans_affine仿射变换
- SpringCloud工作笔记0104---SpringCloud和SpringCloudAlibaba的区别
- shiro filter
- 在linux下的vsftp的使用
- java中斗地主发牌程序代码_java模拟实现斗地主发牌小程序
- 谈谈工作和学习中,所谓的主动性
- C++拷贝构造函数专题
- fifo算法原理及fifo置换算法
- ecshop其他页面判断是智能手机访问也跳转到ECTouch对应手机版页面[有修正]
- centos 防火墙关闭 不能访问3306端口
- 对线程中未捕获的异常进行处理UncaughtExceptionHandler
- linux内核学习的屠龙刀、倚天剑(需要搭配硬件调试环境)
- PowerPoint Quick Tips PowerPoint快速提示 Lynda课程中文字幕
- ESI文章详细信息获取
- 覆盖在计算机硬件之上的第一层软件,2014年通信工程师考试综合能力备考试题7...
- TiDB 在新乐视云联“月光宝盒”项目中的应用与实践