netty中实现双向认证的SSL连接

最新推荐文章于 2024-04-24 11:14:47 发布
最新推荐文章于 2024-04-24 11:14:47 发布
阅读量3w 收藏 25
点赞数 1
文章标签: netty SSL 双向认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/virgilli/article/details/42836063
版权
1. 前期准备工作

        双向证书认证的双方称为client和server,首先为client和server生成证书。由于仅仅是自己学习使用,因此可以在本地自建一个CA,然后用CA的证书分别签发client和server的证书。CA的创建和签发使用OpenSSL。 
在windows环境上安装OpenSSL,然后依据OpenSSL目录下的openssl.cnf中[ CA_default ]的配置创建相应的文件夹和文件 

demoCA/ —- CA的根目录 
|– newcerts/—- CA签发出去的证书 
|– private/ —- CA自己的私钥,默认名称是cakey.pem 
|– serial —- 存放证书序列号的文件 
|– index.txt —- 签发过的证书的记录,文本文件

        serial这个文件中可以初始写入一行记录,包含两个字符01,表示下一个签发的证书采用的序列号是01 
接下来生成CA自己的公私钥(public/private key),生成证书签名请求(CSR, Certificate Signing Request)文件并对该请求进行自签名 
在openssl的根目录下运行 

openssl genrsa -out ./demoCA/private/cakey.pem 2048
genrsa —- 同时生成public key和private key 
很多人将genrsa解释为只生成private key,这是不对的。可以用下面的命令从文件中解出公钥  
openssl rsa -in cakey.pem -pubout > capublickey.pub

注意最后的数字2048表示生成的RSA公私钥的长度

JDK7中对证书检查要求公钥的长度最少为1024位,否则会抛出异常 

java.security.cert.CertPathValidatorException: Algorithm constraints check failed 
该长度限制是可以配置的,配置文件路径是JAVA_HOME/jre/lib/security/java.security 
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024 


然后用上面生成的公私钥文件创建一个证书签名请求文件 

openssl req -new -key ./demoCA/private/cakey.pem -out careq.pem 

req —- 创建CSR或者证书 
-key —- openssl从这个文件中读取private key 
careq.pem的内容格式是  
—–BEGIN CERTIFICATE REQUEST—– 
MIICnzCCAYcCAQAwWjELMAkGA1UEBhMCQ04xCzAJBgNVBAgTAlpKMQswCQYDVQQH 
… … 
ZYu4AZp0VzqnQzCTeYTbC+AsA0RrPVjr95Il46AHvhq2JQpFw8DhrS8Ja1VburI4 
ngFK 
—–END CERTIFICATE REQUEST—–

最后将该请求文件给CA机构做签名,但我们现在是想在本地建CA,因此自己对该文件进行自签名即可。 

openssl ca -selfsign -in careq.pem -out cacert.pem

其实,上面生成CSR然后做自签名的两个步骤可合并到一步完成 

openssl req -new -x509 -key ./demoCA/private/cakey.pem -out cacert.pem

至此,我们已经建立了自己的CA,接下去来分别签发client和server的证书。

创建client和server的证书、key store和trust store

        以创建client的证书为例。由于jdk自带的keytool工具可以方便的创建key store和公私钥,因此公私钥和csr的创建直接使用keytool 
key store和trust store分别对应于ssl握手证书认证中自己的证书和自己所信任的证书列表,二者的文件格式相同,不同之处是key store里面包含ssl握手一方的公私钥和证书,trust store里面包含ssl握手一方所信任的证书,一般没有这些证书所对应的私钥

  1. 生成client的keystore 和key pair 
    keytool -genkey -alias client -keyalg RSA -keystore client.keystore -keysize 2048
  2. 生成csr 
    keytool -certreq -alias client -keystore client.keystore -file client.csr
  3. 用本地CA对该csr签名 
    client证书中我们想添加证书的一项扩展,比如client id,用来区分client的身份,因此需要额外的一份扩展文件client.cnf,内容如下
    [v3_req] 
1.2.3.412=ASN1:UTF8String:0000001444

    可以将该csr和client.cnf文件拷贝到openssl根目录下,运行 
    openssl ca -in client.csr -out client.pem -config ./openssl.cnf -extensions v3_req -extfile client.cnf
  4. 将签过名的client.pem导入到keystore文件中 
    在导入之前,需要先将CA的证书导入keystore文件 
    keytool -keystore client.keystore -importcert -alias CA -file cacert.pem
    然后导入client自己的证书。注意alias是client,与生产keystore和key pair的必须匹配 
    keytool -keystore client.keystore -importcert -alias client -file client.pem

keystore文件内容的查看可以使用 
keytool -list -v -keystore client.keystore 
或者使用可视化工具KeyStore Explorer查看

5. 创建client的trust store 
由于server的证书也是本地CA签发的,因此client只要信任CA的证书那么自然会信任CA签发出的证书,所以我们只需将CA的证书导入trust store即可  
<span style="white-space:pre">	</span>keytool -import -alias cacert -file cacert.pem -keystore clienttruststore.keystore

由于clienttruststore.keystore文件尚不存在,此命令首先创建该文件并将CA的证书导入该trust store

server的证书和key store和trust store可类似创建 

keytool -genkey -alias server -keyalg RSA -keystore server.keystore -keysize 2048 
keytool -certreq -alias server -keystore server.keystore -file server.csr

openssl ca -in server.csr -out server.pem -config ./openssl.cnf

keytool -keystore server.keystore -importcert -alias CA -file cacert.pem 
keytool -keystore server.keystore -importcert -alias server -file server.pem 
keytool -import -alias ca -file cacert.pem -keystore servertruststore.keystore

2. 创建SSL通讯的client和server

由于netty 5现在只有alpha版本,因此保险起见使用4.0.24.final版本的netty。 
netty的SSLContext提供了newClientContext来为client创建ssl context,但查看其源码未发现能支持双向认证,即client端的ssl context只接收一个trust store,而不能指定自己的证书以供server端校验。仿照netty example下的securechat的ssl实现但做了修改 
首先创建一个能提供client和server的ssl context的工具类,分别加载server和client的key store和trust store里面的证书

public class SslContextFactory
{
        private static final String     PROTOCOL    = "TLS";    // TODO: which protocols will be adopted?
    private static final SSLContext SERVER_CONTEXT;
    private static final SSLContext CLIENT_CONTEXT;

    static
    {
        SSLContext serverContext = null;
        SSLContext clientContext = null;

        String keyStorePassword = "aerohive";
        try
        {
            KeyStore ks = KeyStore.getInstance("JKS");
            ks.load(SslContextFactory.class.getClassLoader().getResourceAsStream("cert\\server.keystore"), keyStorePassword.toCharArray());

            // Set up key manager factory to use our key store
            KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
            kmf.init(ks, keyStorePassword.toCharArray());

            // truststore
            KeyStore ts = KeyStore.getInstance("JKS");
            ts.load(SslContextFactory.class.getClassLoader().getResourceAsStream("cert\\servertruststore.keystore"), keyStorePassword.toCharArray());

            // set up trust manager factory to use our trust store
            TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            tmf.init(ts);

            // Initialize the SSLContext to work with our key managers.
            serverContext = SSLContext.getInstance(PROTOCOL);
            serverContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);

        } catch (Exception e)
        {
            throw new Error("Failed to initialize the server-side SSLContext", e);
        }

        try
        {
            // keystore
            KeyStore ks = KeyStore.getInstance("JKS");
            ks.load(SslContextFactory.class.getClassLoader().getResourceAsStream("cert\\client.keystore"), keyStorePassword.toCharArray());

            // Set up key manager factory to use our key store
            KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
            kmf.init(ks, keyStorePassword.toCharArray());

            // truststore
            KeyStore ts = KeyStore.getInstance("JKS");
            ts.load(SslContextFactory.class.getClassLoader().getResourceAsStream("cert\\clienttruststore.keystore"), keyStorePassword.toCharArray());

            // set up trust manager factory to use our trust store
            TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            tmf.init(ts);
            clientContext = SSLContext.getInstance(PROTOCOL);
            clientContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
        } catch (Exception e)
        {
            throw new Error("Failed to initialize the client-side SSLContext", e);
        }

        SERVER_CONTEXT = serverContext;
        CLIENT_CONTEXT = clientContext;
    }

    public static SSLContext getServerContext()
    {
        return SERVER_CONTEXT;
    }

    public static SSLContext getClientContext()
    {
        return CLIENT_CONTEXT;
    }
    ... ...
}

         io.netty.example.securechat.SecureChatClientInitializer类的构造器接收一个io.netty.handler.ssl.SslContext类型的对象,这个SslContext的对象最终被用来创建SslHandler,而上面factory产生的是javax.net.ssl.SSLContext的对象,因此可以做改动如下 

public class ClientInitializer extends ChannelInitializer 
{

private final javax.net.ssl.SSLContext  sslCtx;

public ClientInitializer(javax.net.ssl.SSLContext sslCtx)
{
    this.sslCtx = sslCtx;
}

@Override
public void initChannel(SocketChannel ch) throws Exception
{
    ChannelPipeline pipeline = ch.pipeline();

    SSLEngine sslEngine = sslCtx.createSSLEngine(Client.HOST, Client.PORT);
    sslEngine.setUseClientMode(true);
    pipeline.addLast(new SslHandler(sslEngine));

    // On top of the SSL handler, add the text line codec.
    pipeline.addLast(new DelimiterBasedFrameDecoder(8192, Delimiters.lineDelimiter()));
    pipeline.addLast(new StringDecoder());
    pipeline.addLast(new StringEncoder());

    // and then business logic.
    pipeline.addLast(new ClientHandler());
}
}


最后添加jvm参数 

-Djavax.net.debug=ssl,handshake

来查看ssl握手过程控制台的log

具体实现请参考附件源码。

http://download.csdn.net/detail/virgilli/8373319

附录: 
openssl的配置 
对证书签名时,遇到openssl异常failed to update database TXT_DB error 
有可能是因为签名的csr文件的subject中的一项或几项在该CA之前签发过的证书中已经出现过或者是csr中提供的国家/省份等等的名称与CA自己的不相同,这些限制都可以在openssl.cnf文件中修改 
unique_subject=no

[ policy_match ] 
countryName = match 
#stateOrProvinceName = match 
organizationName = match 
organizationalUnitName = optional 
commonName = supplied 
emailAddress = optional


virgilli
关注
  • 1
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
netty实现SSL/TSL双向加密认证示例
09-21
一个netty建立的SSL双向加密的服务器和客户端的简单示例。工程是IDEA创建的,直接导入即可,注意需要依赖的pom文件的包。需要的证书文件示例也在压缩包内。
Netty双向认证以及白名单证书验证
02-27
使用Netty搭建服务端配置Https双向认证可以参考此代码
如何实现NettySSL / TLS支持以实现安全通信?
越努力越幸运。
02-22 525
在实际使用,你需要创建合适的证书和私钥,配置SSLContext,并确保正确地加载它们。同时,你可能需要处理SSL握手事件、异常等情况,以确保安全通信的顺利进行。
netty系列之:channelPipeline详解
程序那些事
02-28 7434
文章目录简介ChannelPipeline事件传递DefaultChannelPipeline总结 简介 我们在介绍channel的时候提到过,几乎channel所有的实现都是通过channelPipeline进行的,作为一个pipline,它到底是如何工作的呢? 一起来看看吧。 ChannelPipeline ChannelPipeline是一个interface,它继承了三个接口,分别是ChannelInboundInvoker,ChannelOutboundInvoker和Iterable: pub
Netty核心源码分析(三)业务请求执行关键——ChannelPipeline、ChannelHandler、ChannelHandlerContext源码分析
秃了也弱了
04-24 297
到这里,针对三个对象创建过程就结束了,每当创建 ChannelSocket 的时候都会创建个绑定的 pipeline,一对一的关系,创建 pipeline 的时候也会创建 tail 节点和 head 节点,形成最初的链表。tail是入站 inbound 类型的 handler, head 既是 inbound 也是 outbound 类型的 handler。
java websocket及忽略证书
qq_33529102的博客
04-16 4916
websocket连接 1、websocket是什么 WebSocket是一种在单个TCP连接上进行全双工通信的协议,允许服务端主动向客户端推送数据,浏览器和服务器只需要完成一次握手,两者之间就直接可以创建持久性的连接,并进行双向数据传输。 2、应用场景 通过一次tcp长连接,经过一次三次握手,持续的双向传输数据。 特点:实时双向通讯 协议与http类似,ws对应http,wss对应https协议 3、实现方式 1、利用Java-WebSocket库 注意事项: 1、ServerEndpoint注解声明的类
Netty实现SSL双向验证完整实例
dw147258dw的专栏
03-06 648
 一、证书准备      要使用ssl双向验证,就必须先要生成服务端和客户端的证书,并相互添加信任,具体流程如下(本人调试这个用例的时候,花了很多时间来验证证书是否正确,以及握手失败的原因,这里证书生成过程只要按流程走,本人能保证绝对没有问题) 现在打开cmd,在哪个目录下打开,证书就会放在哪个目录下: 第一步:   生成Netty服务端私钥和证书仓库命令  keytool -genk...
使用Netty实现SSL和TLS加密通信
lonely_baby的博客
03-09 2171
代码,我们在创建EchoServer时指定了SslContext对象,用于启用SSL和TLS协议支持。以上代码,我们在EchoServerHandler的channelActive方法添加了一个SslHandler处理器,并将其添加到ChannelPipelineNetty支持使用SSL和TLS协议进行加密通信,可以在保证通信安全的同时,保证数据传输的完整性和可靠性。例如,我们可以使用下面的代码创建一个EchoServer,并指定SSL和TLS协议支持。然后,我们调用sync方法等待服务器关闭。
netty实现TLS/SSL双向加密认证
zhangfls的博客
09-21 4842
1、双向加密认证首先要获取到证书,可以先自己生成证书用于测试(实际获取到的公网证书使用方式其实差不多) (1)可以通过openssl生成证书 (2)首先要生成一份CA根证书,再由该证书生成服务器和客户端的证书 (3)完成基本的SSL/TLS服务器和客户端的双向加密通讯,一共需要生成5份证书 ①CA证书 ②服务器证书 ③服务器密钥 ④客户端证书 ⑤客户端密钥 (4)、一般证书有多种格式,这里我们用pem格式做示例(linux系统常用) 2、假设...
netty整合ssl实现双向加密通信
AppTop_Jo的博客
06-12 854
netty,ssl,springboot
nettySSL双向认证
01-18
netty的client和server端建立SSL连接,并进行双向的证书验证
基于springboot的NettySSL加密PKI认证通信
04-01
采用springboot的基于NettySSL加密PKI认证通信,里面模拟了Netty的客户端和服务端的证书认证规则,同时分为单向认证双向认证,信任证书链并对RA颁发的证书来进行验签,实现双向和单向加密通信,保障了数据的...
基于netty实现的支持长连接的rpc
07-19
1、下载后导入eclipse(maven工程) 2、先运行ServerTest 3、再运行ClientTest,即可看到输出结果 4、保证可用,亲手编写,欢迎大家指正不足
Netty】使用Netty实现自己的通信协议
Zhangsama1的博客
04-23 994
netty实现自己的通信协议
适配器模式
s178435865的专栏
04-20 563
适配器模式
Netty框架理解】
weixin_46116749的博客
04-18 682
Redis,Zookeper,Netty,游戏服务器等其实底层就是I/O通讯程序(C/S架构)Client与Server之间进行IO通讯。
Netty】ByteBuf与拆包粘包
Zhangsama1的博客
04-23 734
NettyByteBuf的拆包粘包的解决
Netty websocket配置wss
最新发布
Boxzhang的博客
04-24 150
打开cmd 执行openssl pkcs8 -topk8 -nocrypt -in 你的.key文件 -out pkcs8.key。配置openssl环境变量,win path 后面加安装目录 D:\zhang\OpenSSL-Win64\bin。https 和wss用的是同一个域名证书(企鹅),Java 配置WSS ssl处理器,启动程序发现报错。下载opensslssl文件.key 到pkcs8格式。备注:ssl证书给的.key文件就是pkcs1格式文件。录音配置https 导致ws连不上。
netty服务双向认证
12-28
以下是一个使用Netty建立SSL双向认证的服务器和客户端的简单示例: 首先,确保你已经安装了Java和Maven,并且已经创建了一个Maven项目。 在pom.xml文件添加以下依赖项: ```xml <groupId>io.netty ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值