怎么 在客户端 验证 self-signed 证书. -- FTPS

最新推荐文章于 2024-04-24 22:51:49 发布
最新推荐文章于 2024-04-24 22:51:49 发布
阅读量6.8k 收藏 1
点赞数
分类专栏: SSL 文章标签: server string gmail exchange java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dgenerationx/article/details/3957616
版权
  • 在 Linux Server 上安装好了 FTPS server, ( vsftpd 工具 )
  • 在Server上生成 SSL 证书, 签证的时候我是 自签名的 self-signed。(当然,可以花钱由CA中心签发电子证书)

          如何 生成 self-signed certificate 见我前面 叙述的文章.

          假定我们现在生成的 证书 为 server.cer

  • 然后在 Client 上根据 server.cer 证书生成客户端的 trustStore

          如果 是self-signed 的证书,一定要在客户端生成相应的trustStore, 因为

          Man-In-Middle-Attact, 就是说,在Server返回Certificate的时候,第三者在中间截断,然后生成一个伪冒的证书发送给Client,这样,Client就会用这张伪冒的证书里面的Public Key去加密生成的发送给Server的Secret Key. 这样Client发送的任何东西,第三方均可以获取.

          所以,我们需要实现建立好trustStore,并用它去验证Server证书的合法性.

          keytool -import -alias ca -file server.cer -keystore jassecacerts

          这里需要密码来 import,可以随便自己定义,但得牢记

          这样我们根据服务器端的 self-signed certificate 生成了 自己的trustStore 叫 jassecacerts
  • Client 创建FPTS实例链接 Server. 验证过程如何?

          根据官方文档,我们可以有两种选择

          1. 把 jassecacerts 部署到 %JAVA_HOME%/lib/security 目录中

          2. 或者用程序     System.setProperty( "javax.net.ssl.trustStore", ".../jssecacerts"); 导入

          然后当 Client 链接 Server (hand shakes) 的时候, jsse 会根据 设置的 TrustStore 去自动校验 certificate的合法性. 具体步骤是这样的, 先在 %JAVA_HOME%/lib/security里面查找 jssecacerts里面有没有,然后再找cacerts里面有没有. 这样去验证 合法性...

          事实真是这样的吗???? 经过我具体的测试,JSSE会去找,但是合法性验证了没,这里,我用的是FTPS做的实验,我打包票的说,没有.... 那JSSE只做了些什么呢? 就是 去找了下有没有..... 如果没有,就直接加入.

 

          看如下的验证过程:

          我先导入Gmail的证书, 用这个证书作为我自己Server证书的一个fake版本的.

          Gmail证书如何生成的,很简单,需要用到 Openssl,

          1. Get the certificate from Gmail

              openssl s_client -showcerts -connect gmail.google.com:443

          2. 然后将 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 之间,也包括这两行 直接拷贝到 gmail.cer

          3. keytool -import -alias fake gmail.cert -keystore fakestore

 

          这样,我们就生成了一个 针对我自己server的一个假冒的truststore

 

          然后我把这个假冒的trust store 导入到 %JAVA_HOME%/lib/security中,当然得重命名为 jssecacerts,然后我运行下面的这段测试代码:

 

          FTPS  _ftps = new FTPSClient();

          _ftps.connect( _myserveraddr, 21 );

         System.out.println( "Reply Code:" +_ftps.getReplyCode + "; Reply String: "+ _ftps.getReplyString() );

          String[] enabledProtocols = _ftps.getEnabledProtocols();
          for( String p : enabledProtocols ){
                System.out.println("Enabled protocol for this connection: "+p);
          }

         呵呵,居然返回 234 Proceed with negotiation. 链接成功............

         Enabled protocol for this connection: TLS
         Enabled protocol for this connection: TLSv1

 

         这里我用了一个假的证书放到我的truststore里面,而真的证书根本就没放,它也连接成功。

 

         然后我用 Djavax

         java -Djavax.net.debug=SSL,handshake,data,trustmanager MyApp
         从控制台里面发现,似乎 证书被加载到 truststore里面了..

         所以试想,如果这里真的有第三者,充当 Man-In-Middle-attact 的角色,
         当服务器 将它自己的self-signed证书给客户端的时候,被截取,而截取者将证书改成自己的假冒证书(类似于上面的gmail.cer),里面有自己的public key,
         这样,如果当shake hands结束的时候,客户端 exchange的private key就会被 截取这截获了..
         所以,我们不能用 JSSE 默认的验证方法.
  • 所以,我们应该怎样去验证证书的合法性呢?我们需要手动创建TrustManager去验证.

          来吧,我们自己去验证合法性... 通过创建一个自己的 TrustManager, 根据我们从服务器上的cer导入的 trustStore

          看下面的代码

         下面是我的核心代码片段.

         _true_cert 是我真正的非仿冒的 truststore

         _true_cert_pwd 是根据server.cer导入truststore时用的密码

         注意,我们创建 一个keystore实例,然后倒入truely证书的truststore,然后根据导入了的keystore生成我们的TrustManager,然后将这个trustmanger set 到我们的FTPSClient中... OK.. 这样我们的客户端在connect的时候,会根据这个TrustManager去做验证了,如果从Server上得到的self-singed certificate和我本地Truststore里面放的certificate不同,就会出错...

 

         有兴趣可以将_true_cert换成我上面的那个假的证书_fake_cert,一验证,发现通过不了.....

javax.net.ssl.SSLHandshakeException: com.ibm.jsse2.util.h: No trusted certificate found

呵呵.......................  仔细看下面的代码吧.. 原来真理都那么简单,可是找的过程却如此复杂

 

        // Set the trust store by System Property
        System.setProperty( "com.ibm.ssl.trustStore",   new File( _true_cert ).getAbsolutePath() );
        System.setProperty( "javax.net.ssl.trustStore", new File( _true_cert ).getAbsolutePath() );

        FTPSClient _ftps = null;
       
        try{   
            _ftps = new FTPSClient();
           
            KeyStore keyStore = KeyStore.getInstance( (KeyStore.getDefaultType()) );   
            keyStore.load(new FileInputStream(  _true_cert ), _true_cert_pwd.toCharArray());   
            java.security.cert.Certificate ca = keyStore.getCertificate( "ca" );
            // To check the certificate is really a fake one.
            System.out.println(ca.toString());
           
            // We need the trustStore to verify the server's certificate manual if it's a self-signed certificate.
            // Set the keyStore for performance enhance when connecting. Optional step for the key manager.
            KeyManagerFactory kmf = KeyManagerFactory.getInstance( "IbmX509" );
            kmf.init( keyStore, _true_cert_pwd.toCharArray());
            KeyManager[] kms = kmf.getKeyManagers();
            _ftps.setKeyManager( kms[0] );

            // Create the trustStore, It's must for verify the self-signed certificate
            TrustManagerFactory tmf    = TrustManagerFactory.getInstance( TrustManagerFactory.getDefaultAlgorithm() );       
            tmf.init(keyStore);
            TrustManager[] tms = tmf.getTrustManagers();

            _ftps.setTrustManager( tms[0] ); // --  very important step to verify the self-signed certificate
           
           
            //Otherwise, if not set the trust manager to verify the self-signed certificate
            //The FTPS client is not so smart to know whether it's a fake or not but just to loaded the certificate into its trustStore
           
            /*
             * Shake hands starting
             */
            _ftps.connect( "prtdevmq.pok.ibm.com", 21);
           
            Assert.assertEquals("Connect sucessfull", true, true );
            System.out.println( "Connect sucessfull, Reply Code:" + _ftps.getReplyCode() +"; Reply String:"+ _ftps.getReplyString() );
           
            String[] enabledProtocols = _ftps.getEnabledProtocols();
            for( String p : enabledProtocols ){
                System.out.println("Enabled protocol for this connection: "+p);
            }

 

伤神v
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssl-self-signed:为您的domainIP生成自签名的SSL证书
05-26
ssl自签名 为您的域/ IP生成100年的自签名ssl证书。 已要求 Linux 安装 npm install ssl-self-signed 例子 var sss = require ( 'ssl-self-signed' ) ; // auto generate CA sss ( { output : __dirname , commonName : '192.168.56.101' , end ( ) { if ( err ) { return console . error ( err ) ; } console . log ( 'ok' ) ; } } ) ; 生成文件: CA.key CA的私钥。 CA.crt导入浏览器。 server.crt和server.key用于服务器。 选择 CA如果未设置( unde
php ftp tls,FileZilla FTP Server FTP over TLS settings 设置FTP服务器证书启用FTPS
weixin_39763683的博客
04-08 630
证书文件下载并保存到FileZilla FTP服务器所在的服务器电脑上假设D:\apps\server\TLS\wuxiancheng.cn\目录中存在certificate.crt和private.key两个文件,其中certificate.crt为保存服务器证书公钥的文件private.key为保存服务器证书私钥的文件运行FileZilla Server Interface.exe,依次进入...
linux-centos系统上ftps搭建及验证
yrsg666的博客
06-25 391
#按提示输入相关信息即可(普通字符串即可没什么要求)服务启动/重启/停止centos和Ubuntu有点区别,以上操作完成,使用外部工具可能会连不上,需要修改1、修改/etc/pam.d/vsftpd添加:auth required pam_nologin.so2、如果想要root也可以远程登录修改 /etc/vsftpd/ftpusers ,注释掉第一行 root验证使用filezilla输入IP、用户名、密码以及配置文件里的端口即可访问上传文件。
Linux--- ftps、sftp协议
技术专栏
06-21 5033
Ftps协议:ftp over ssl,传输层是ftp协议,传输层与网络层之间是ssl协议,内容是加密的,但仍然存在控制链路、数据链路,服务端是vsftd进程,加载了openssl动态库。 Sftp协议:是ssh协议中一个单独协议,使用22端口,不区分控制链路、数据链路,内容是加密的,服务端是sshd进程,与vsftpd进程无关。
iis搭建ftp服务器及身份验证设置
热门推荐
☆╮123☆
10-10 3万+
在win7下搭建ftp服务器:    搭建FTP安装步骤:    1、安装FTP服务器:       1)点击【开始】—【控制面板】—【程序】—【程序和功能】—【打开或关闭windows功能】                                                         图一:安装FTP服务器(1)       2)选择【Internet信息服务】复
【https】Self-Signed SSL证书创建和使用
dualvencsdn的博客
07-15 2641
一般可用于个人测试使用和非域名https访问,通常CA机构不支持颁发IP证书,只有个别OV机构支持公网IP证书,但只能用于大型机构组织的网站。Whentheserver.keyserver.csrfiles.Theserver.crtserver.key其中server.key为服务端私钥文件,用于后续传输加解密。server.crt为签好名的证书文件,其中包含了服务描述信息和公钥,用于发往客户端进行合法验证,公钥用于后续传输加解密。以最新版本nginx启用ssl配置为例3.重载nginx配置信息。....
FTP使用Socket SSL流程认证(一)
weixin_30817749的博客
08-20 559
关于Ftp使用SSL流程认证 本文章使用的是C#,ftp服务器为FileZilla 注:如果不是使用的Socket可以使用FtpWebRequst类,说实话,该类比较简单,但现在说的是SOCKET,网上关于这方面的实在太少了 流程(不会画图,就笔述) 大致流程: 一.ssl的认证 1.连接到指定的ftp服务器(当前还未登陆) 2.发送"AUTH SSL"或"AUTH TLS...
连接linux意外的数据包,我该如何解决:由于意外的数据包格式,握手失败?
weixin_39734646的博客
05-13 487
我从Windows Server 2008 R2连接到运行vsFTPd 2.0.7的Linux FTP服务器。我通过SSL连接。我该如何解决:由于意外的数据包格式,握手失败?这里是代码行是失败的:sslStream = new SslStream(stream, false, CertificateValidation);这里是日志:220 (vsFTPd 2.0.7)AUTH SSL234 Pr...
【项目实战】如何在Apifox上配置客户端证书,来实现双向HTTPS的API调用?
本本本添哥
07-08 1363
经过研究发现,我们可以在APIFOX或者是Postman等API调试工具上加证书 来实现双向HTTPS的API调用。请注意,双向认证需要服务器端和客户端之间都使用正确的证书和密钥进行配置。确保您的证书和密钥正确无误,并且服务器端和客户端的配置一致。此外,您还需要确认您的服务器端和客户端代码中的SSL握手逻辑正确无误,以避免潜在的安全漏洞或错误。
HTTPS证书认证过程(CA)
lsh235的博客
07-20 3698
CA根证书CA根公钥内置在浏览器,CA根证书内置在客户端的操作系统。第二部分数字签名,数字签名即第一部分使用hash压缩的,CA机构使用自己的私钥进行加密的。主要包含了公钥、公钥拥有者名称、CA的数字签名、有效期、授权中心名称、证书序列号等信息。如果不同,可能证书被修改过或者不是使用CA公钥加密的。第一部分服务端的公钥,服务器名称、授权中心名称、有效期、序列号等。客户端收到证书,将证书上的CA根证书与操作系统内置的CA根证书匹配。首先服务器生成自己的公钥和私钥,公钥发给CA机构。...
mongodb-windows-x86-64-7.0.5-signed.msi
02-18
mongodb-windows-x86_64-7.0.5-signed.msi 数据库构建工具
self-signed-ssl:使用OpenSSL生成自签名TLS证书
05-01
curl --output self-signed-ssl https://raw.githubusercontent.com/lstellway/self-signed-ssl/master/self-signed-ssl && chmod +x self-signed-ssl 用法 self-signed-ssl [OPTIONS] # Run with no arguments to ...
mongodb-windows-x86_64-4.4.0-signed.msi
08-10
MongoDB window 安装包,mongodb-windows-x86_64-4.4.0-signed.msi,免除下载速度慢的烦恼!
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 202
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1316
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 449
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
javaweb-SpringBoot基础
kussm_的博客
04-20 1234
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
MSE实现全链路灰度实践
云计算、数据库、大数据、深度学习、NLP、Python
04-24 192
待更新。
Java | 冒泡排序算法实现
最新发布
yingzix688的博客
04-24 614
题目描述 编写一个Java程序,实现冒泡排序算法。程序需要能够接收一个整型数组作为输入,并输出排序后的数组。 冒泡排序是一种简单的排序算法,它重复地走访过要排序的数列,一次比较两个元素,如果他们的顺序错误就把他们交换过来。走访数列的工作是重复地进行直到没有再需要交换,也就是说该数列已经排序完成。
su-2.3.6.1-ef-signed.zip
11-06
su-2.3.6.1-ef-signed.zip是一个包含安卓系统中Root管理工具SuperSU的压缩文件。Root是指在安卓系统中获得管理员权限,有了Root权限后,用户可以对安卓设备进行更深层次的权限操作和定制。SuperSU是一个被广泛使用的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值