Netty+OpenSSL TCP双向认证证书配置

最新推荐文章于 2024-06-20 11:11:36 发布
最新推荐文章于 2024-06-20 11:11:36 发布
阅读量2.7k 收藏 15
点赞数 3
文章标签: tcp/ip ssl netty
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Brethless_breath/article/details/121136936
版权

百度加自研终于成功配置了netty+TLS双向认证,做个笔记。

TCP双向认证证书配置

1.linux下OpenSSL安装

1.1 openSSL下载

OpenSSL*下载地址:https://oomake.com/download/openssl

1.2 openSSL安装

# tar -xzf openssl-1.0.2f.tar.gz
# cd openssl-1.0.2f
# mkdir /usr/local/openssl
# ./config --prefix=/usr/local/openssl
# make
# make install
查看路径:which openssl,查看版本:openssl version

2.OpenSSL生成证书以及证书转换过程

1.生成服务器端私钥
openssl genrsa -out server.key 2048
2.生成服务器端公钥
openssl rsa -in server.key -pubout -out server.pem
3.生成客户端私钥
openssl genrsa -out client.key 2048
4.生成客户端公钥
openssl rsa -in client.key -pubout -out client.pem
5.生成 CA 私钥
openssl genrsa -out ca.key 2048
6.生成CA的csr文件,保存必要信息
openssl req -new -key ca.key -out ca.csr
7.	生成CA的证书文件crt文件
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
8.生成服务器端的csr文件,为生成服务器证书做准备
openssl req -new -key server.key -out server.csr
9.生成服务器端证书crt文件
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
10.生成client 端csr文件,为生成client证书做准备
openssl req -new -key client.key -out client.csr
11.生成client 端证书crt文件
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt


12.备份服务器私钥
openssl rsa -in server.key -out server_nopwd.key
13.生成服务器端证书
openssl x509 -req -days 365 -in server.csr -signkey server_nopwd.key -out server.crt
14.转换服务端key为PK8
openssl pkcs8 -topk8 -in server.key -out pkcs8_server.key –nocrypt
15.转换客户端key为PK8
openssl pkcs8 -topk8 -in client.key -out pkcs8_client.key -nocrypt
16.转换ca 的cert+key为pfx
openssl pkcs12 -export -in ca.crt -inkey ca.key -out ca.pfx
17.转换ca的 pfx为jks
keytool -importkeystore -srckeystore ca.pfx -destkeystore ca.jks  -srcstoretype PKCS12 -deststoretype JKS
18. 转换服务端 的cert+key为pfx
openssl pkcs12 -export -in server.crt -inkey server.key -out server.pfx
19. 转换服务端的 pfx为jks
keytool -importkeystore -srckeystore server.pfx -destkeystore server.jks  -srcstoretype PKCS12 -deststoretype JKS

20. 转换客户端 的cert+key为pfx
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
21. 转换客户端的 pfx为jks
keytool -importkeystore -srckeystore client.pfx -destkeystore client.jks  -srcstoretype PKCS12 -deststoretype JKS

3.JAVA服务端代码

public class NettyServerWithMtls {

    private int port;

    public NettyServerWithMtls(int port) {
        this.port = port;
    }

    public void run() throws Exception {
        /** 证书 */
        String basePath = "D:/idea_workspace/dev-utils/src/main/resources/";
        File certFile = new File(basePath + "jks/emqx-dev.crt");
        File keyFile = new File(basePath + "jks/emqx-dev.pk8");
        File rootFile = new File(basePath + "jks/ca.crt");
        File jksServerFile = new File(basePath + "jks/emqx-dev.jks");
        File jksCaFile = new File(basePath + "jks/ca.jks");
        String jksKeyPassw = "mykeypass";
        String jksStorePassw = "mystorepass";


        /** ============ TLS - 双向 ===============*/
        SSLContext sslContext = null;
        /** 方式1:Java SSL(使用jks) - server端keyManagerFactory+trustManagerFactory */
        /** keyStore */
        //defaultType: jks 或者系统属性: keystore.type"
        KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
        ks.load(new FileInputStream(jksServerFile), jksStorePassw.toCharArray());
        //defaultAlgorithm: SunX509 或者系统属性: ssl.KeyManagerFactory.algorithm
        KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        kmf.init(ks, jksKeyPassw.toCharArray());
        /** trustKeyStore */
        KeyStore tks = KeyStore.getInstance(KeyStore.getDefaultType());
        tks.load(new FileInputStream(jksCaFile), jksStorePassw.toCharArray());
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(tks);
        //生成SSLContext
        sslContext = SSLContext.getInstance("TLS");
        sslContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);


        /** 方式2: httpcore SSLContentBuilder(使用jks) - server端keyMaterial+trustMaterial */
        sslContext = SSLContextBuilder.create()
                //keyStore
                .loadKeyMaterial(jksServerFile, jksStorePassw.toCharArray(), jksKeyPassw.toCharArray())
                //trustKeyStore
                .loadTrustMaterial(jksCaFile, jksStorePassw.toCharArray())
                .build();

        //方式1,2: 生成sslEngine
        SSLEngine sslEngine = sslContext.createSSLEngine();
        //是否客户端模式 - 服务端模式
        sslEngine.setUseClientMode(false);
        //是否需要验证客户端(双向验证) - 双向验证
        sslEngine.setNeedClientAuth(true);
        //pipeline.addFirst("ssl", new SslHandler(sslEngine));

        /** 方式3: netty sslContextBuilder server端 - 双向tls(使用server端crt+pk8+ca) */
        SslContext nettySslContext = SslContextBuilder.forServer(certFile, keyFile)
                .trustManager(rootFile)
                .clientAuth(ClientAuth.REQUIRE)
                .build();


        EventLoopGroup bossGroup = new NioEventLoopGroup(); //用于处理服务器端接收客户端连接
        EventLoopGroup workerGroup = new NioEventLoopGroup(); //进行网络通信(读写)
        try {
            ServerBootstrap bootstrap = new ServerBootstrap(); //辅助工具类,用于服务器通道的一系列配置
            bootstrap.group(bossGroup, workerGroup) //绑定两个线程组
                    .channel(NioServerSocketChannel.class) //指定NIO的模式
                    .childHandler(new ChannelInitializer<SocketChannel>() { //配置具体的数据处理方式
                        @Override
                        protected void initChannel(SocketChannel socketChannel) throws Exception {
                            ChannelPipeline pipeline = socketChannel.pipeline();
                            /** 方式1,2: ssl handler */
                            //pipeline.addFirst("ssl", new SslHandler(sslEngine));
                            /** 方式3: netty sslContext */
                            pipeline.addFirst("ssl", nettySslContext.newHandler(socketChannel.alloc()));
                            //业务handler
                            pipeline.addLast(new ServerHandler());
                        }
                    })
                    .option(ChannelOption.SO_BACKLOG, 128) //设置TCP缓冲区
                    .childOption(ChannelOption.SO_SNDBUF, 32 * 1024) //设置发送数据缓冲大小
                    .childOption(ChannelOption.SO_RCVBUF, 32 * 1024) //设置接受数据缓冲大小
                    .childOption(ChannelOption.SO_KEEPALIVE, true); //保持连接
            ChannelFuture future = bootstrap.bind(port).sync();
            future.channel().closeFuture().sync();
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            workerGroup.shutdownGracefully();
            bossGroup.shutdownGracefully();
        }
    }


    public class ServerHandler extends ChannelInboundHandlerAdapter {

        @Override
        public void channelRead(ChannelHandlerContext ctx, Object msg) throws Exception {
            //do something msg
            ByteBuf buf = (ByteBuf) msg;
            byte[] data = new byte[buf.readableBytes()];
            buf.readBytes(data);
            String request = new String(data, "utf-8");
            System.out.println("Server Recv from Client: " + request);
            //写给客户端
            String response = "888";
            System.out.println("Server send to Client: " + response);
            ctx.writeAndFlush(Unpooled.copiedBuffer(response.getBytes()));
        }

        @Override
        public void exceptionCaught(ChannelHandlerContext ctx, Throwable cause) throws Exception {
            cause.printStackTrace();
            ctx.close();
        }

    }


    public static void main(String[] args) throws Exception {
        new NettyServerWithMtls(8379).run();
    }

}

4.JAVA客户端代码

public class NettyClientWithMtls {

    public static void main(String[] args) throws Exception {
        String basePath = "D:/idea_workspace/dev-utils/src/main/resources/";
        File certFile = new File(basePath + "jks/emqx-dev.crt");
        File keyFile = new File(basePath + "jks/emqx-dev.pk8");
        File rootFile = new File(basePath + "jks/ca.crt");
        File jksServerFile = new File(basePath + "jks/emqx-dev.jks");
        File jksCaFile = new File(basePath + "jks/ca.jks");
        File jksClientFile = new File(basePath + "jks/emqx-dev-client.jks");
        String jksKeyPassw = "mykeypass";
        String jksStorePassw = "mystorepass";

        /** ============ TLS - 双向 ===============*/
        SSLContext sslContext = null;
        /** 方式1: Java SSL(使用jks) - 客户端keyManagerFactory+服务端trustManagerFactory */
        //keyStore
        //defaultType: jks 或者系统属性: keystore.type"
        KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
        ks.load(new FileInputStream(jksClientFile), jksStorePassw.toCharArray());
        //defaultAlgorithm: SunX509 或者系统属性: ssl.KeyManagerFactory.algorithm
        KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        kmf.init(ks, jksKeyPassw.toCharArray());
        //trustKeyStore
        KeyStore tks = KeyStore.getInstance(KeyStore.getDefaultType());
        //此处暴露server.jks 或 ca.jks均可通过验证
        tks.load(new FileInputStream(jksCaFile), jksStorePassw.toCharArray());
        //tks.load(new FileInputStream(jksServerFile), jksStorePassw.toCharArray());
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(tks);
        //生成SSLContext
        sslContext = SSLContext.getInstance("TLS");
        sslContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);


        /** 方式2: httpcore SSLContentBuilder(使用jks) - 客户端keyMaterial+服务端trustMaterial */
        sslContext = SSLContextBuilder.create()
                //keyStore
                .loadKeyMaterial(jksClientFile, jksStorePassw.toCharArray(), jksKeyPassw.toCharArray())
                //trustKeyStore
                .loadTrustMaterial(jksCaFile, jksStorePassw.toCharArray())
                .build();

        //方式1,2: 生成sslEngine
        SSLEngine sslEngine = sslContext.createSSLEngine();
        //是否客户端模式 - 客户端模式
        sslEngine.setUseClientMode(true);
        //是否需要验证客户端(双向验证) - 双向验证
        sslEngine.setNeedClientAuth(true);
        //pipeline.addFirst("ssl", new SslHandler(sslEngine));


        /** 方式3: netty sslContextBuilder(使用客户端cert+key.pk8,ca) - 客户端keyManager+ca端trustManager */
        SslContext nettySslContext = SslContextBuilder.forClient()
                //客户端crt+key.pk8
                .keyManager(certFile, keyFile)
                //ca根证书
                .trustManager(rootFile)
                //双向验证
                .clientAuth(ClientAuth.REQUIRE)
                .build();
        //pipeline.addFirst("ssl", nettySslContext.newHandler(socketChannel.alloc()));


        EventLoopGroup workerGroup = new NioEventLoopGroup();
        Bootstrap bootstrap = new Bootstrap();
        bootstrap.group(workerGroup)
                .channel(NioSocketChannel.class)
                .handler(new ChannelInitializer<SocketChannel>() {
                    @Override
                    protected void initChannel(SocketChannel socketChannel) throws Exception {
                        ChannelPipeline pipeline = socketChannel.pipeline();
                        /** 方式1,2: ssl handler(trust ca) */
                        //pipeline.addFirst("ssl", new SslHandler(sslEngine));
                        /** 方式3: netty sslContext */
                        pipeline.addFirst("ssl", nettySslContext.newHandler(socketChannel.alloc()));
                        pipeline.addLast(new ClientHandler());
                    }
                });
        ChannelFuture future = bootstrap.connect("127.0.0.1", 8379).sync();
        String sendMsg = "777";
        System.out.println("Client send to Server:" + sendMsg);
        future.channel().writeAndFlush(Unpooled.copiedBuffer(sendMsg.getBytes()));
        future.channel().closeFuture().sync();
        workerGroup.shutdownGracefully();
    }


    public static class ClientHandler extends ChannelInboundHandlerAdapter {

        @Override
        public void channelRead(ChannelHandlerContext ctx, Object msg) throws Exception {
            try {
                ByteBuf buf = (ByteBuf) msg;
                byte[] data = new byte[buf.readableBytes()];
                buf.readBytes(data);
                System.out.println("Client recv from Server:" + new String(data).trim());
            } finally {
                ReferenceCountUtil.release(msg);
            }
        }


        @Override
        public void exceptionCaught(ChannelHandlerContext ctx, Throwable cause) throws Exception {
            cause.printStackTrace();
            ctx.close();
        }

    }
}

参考引用

Gezelligheid-LHN
关注
Netty使用SSL实现双向通信加密
我是香菜
01-03 1367
最近项目有个需求,TCP服务器实现基于证书通信加密,之前没做过,花了一些时间调研,今天整理下。
java websocket 认证_配置JAVA SSL/TLS 之websocket wss交互式认证
weixin_39695490的博客
02-24 814
我下面生成的 .keystore文件也可以用 .jks 后缀代替, jks 的意思就是 java keystore, 另外需要知道 .cer文件是二进制的, .pem文件是文本文件, 本质都是一样的, 他们可以互相转换。 java 语言操作的是二进制的文件, 其他的一些脚本语言, 可能操作的是PEM格式的文件。看具体情况吧。创建服务端keystorekeytool -ge...
netty案例,netty4.1中级拓展篇十三《Netty基于SSL实现信息传输过程中双向加密验证》源码
10-11
netty案例,netty4.1中级拓展篇十三《Netty基于SSL实现信息传输过程中双向加密验证》源码 https://mp.weixin.qq.com/s?__biz=MzIxMDAwMDAxMw==&mid=2650724977&idx=1&sn=cab1a02be74a62d8184c18abc5eba6b5&scene=19#wechat_redirect
nettySSL双向认证
01-18
netty的client和server端建立SSL连接,并进行双向证书验证
client did not trust this server‘s certificate, closing connection Netty4TcpChannel{localAddress=
最新发布
u011250186的博客
06-20 187
client did not trust this server's certificate, closing connection Netty4TcpChannel{localAddress=
Netty SSL双向验证
crazy_rays的专栏
05-29 1470
server端:ca.crt、server.crt、pkcs8_server.key。client端:ca.crt、client.crt、pkcs8_client.key。
netty实现SSL 双向认证与用jmeter测试
moke的博客
05-28 2236
 有时RestApi接口需要实现双向认证,验证客户端请求的合法来源,这里用netty实现了https请求的双向认证首先ide里生成一个maven项目,pom.xml加入netty依懒包  &lt;dependency&gt;     &lt;groupId&gt;io.netty&lt;/groupId&gt;     &lt;artifactId&gt;netty-all&lt;/artifac...
netty openssl
yanyanho的专栏
12-16 794
1 https://www.cnblogs.com/wade-luffy/p/6019743.html  netty性能调优; 2 http://rdcqii.hundsun.com/portal/article/463.html netty 3 https://netty.io/wiki/forked-tomcat-native.html
netty中实现双向认证SSL连接
热门推荐
virgilli的专栏
01-19 3万+
Edit 1. 前期准备工作 双向证书认证的双方称为client和server,首先为client和server生成证书。由于仅仅是自己学习使用,因此可以在本地自建一个CA,然后用CA的证书分别签发client和server的证书。CA的创建和签发使用OpenSSL。  在windows环境上安装OpenSSL,然后依据OpenSSL目录下的openssl.cnf中[ C
Netty系列之Netty安全性
xiaomin1991222的专栏
03-10 619
1. 背景 1.1. 严峻的安全形势 1.1.1. OpenSSL Heart bleed漏洞 2014年上半年对网络安全影响最大的问题就是OpenSSL Heart bleed漏洞,来自Codenomicon和谷歌安全部门的研究人员发现OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中 的数据内容。该漏洞在国内被译为” OpenSSL心脏出血漏洞”,因其破坏性之大和
netty学习笔记
qq_38777662的博客
08-12 679
io.netty PART1 Netty——异步和事件驱动 1.netty概述 Netty 是一款异步的事件驱动的网络应用程序框架,支持快速地开发可维护的高性能的面向协议的服务器和客户端。 在网络编程领域,Netty是Java的卓越框架。它驾驭了Java高级API的能力,并将其隐藏在一个易于使用的API之后。Netty使你可以专注于自己真正感兴趣的——你的应用程序的独一无二的价值。 2.netty特性  非阻塞网络调用使得我们可以不必等待一个操作的完成。完全异步的 I/O 正是基于这个特性构建的,并且
Netty双向认证以及白名单证书验证
02-27
使用Netty搭建服务端配置Https双向认证可以参考此代码
netty实现SSL/TSL双向加密认证示例
09-21
一个netty建立的SSL双向加密的服务器和客户端的简单示例。工程是IDEA创建的,直接导入即可,注意需要依赖的pom文件中的包。需要的证书文件示例也在压缩包内。
netty-openssl-test
05-25
netty-openssl测试 一个小型测试应用程序,用于证明OpenSSL与基于Netty 4的HTTP客户端一起使用。 跑步 mvn compile mvn exec:java -Dexec.mainClass=io.norberg.netty_openssl_test.NettyOpenSslTest
C# TLS SSL TCP双向认证 X509Store SslStream Certificate
09-25
C# TLS SSL TCP双向认证 X509Store SslStream Certificate Visual Studio 2017 命令提示 键入: makecert -r -pe -n “CN=TestServer” -ss Root -sky exchange 等待来自客户端的连接... 显示安全等级 密钥套件: Aes256 密钥长度 256 哈希算法: Sha1 算法长度 160 密钥交换算法: 44550 算法长度 255 协议版本: Tls 显示安全服务信息 身份验证是否成功: True 远程是否身份验证: True 当前数据流是否签名: True 当前流是否数据加密: True 显示安全信息 验证证书时是否检测证书吊销: True 本地证书名称 CN=TestServer 证书有效期 2018/9/25 11:32:24 证书到期时间 2040/1/1 7:59:59. 远程证书为空. 显示流属性 流是否可读: True, 是否可写 True 流是否超时: True 发送 hello 消息. 等待客户端的消息... 接收到: Hello 来自客户端. 等待来自客户端的连接...
配置JAVA SSL/TLS 之websocket wss交互式认证
Langeldep的专栏
01-29 1万+
创建服务端keystorekeytool -genkey -v -alias server_ks -keysize 2048 -keyalg RSA -dname "CN=www.abc.com" -keypass 123456 -storepass 123456 -keystore ./server.keystore -validity 36500创建客户端keystorekeytool -ge
netty实现TLS/SSL双向加密认证
zhangfls的博客
09-21 5329
1、双向加密认证首先要获取到证书,可以先自己生成证书用于测试(实际获取到的公网证书使用方式其实差不多) (1)可以通过openssl生成证书 (2)首先要生成一份CA根证书,再由该证书生成服务器和客户端的证书 (3)完成基本的SSL/TLS服务器和客户端的双向加密通讯,一共需要生成5份证书 ①CA证书 ②服务器证书 ③服务器密钥 ④客户端证书 ⑤客户端密钥 (4)、一般证书有多种格式,这里我们用pem格式做示例(linux系统常用) 2、假设...
Netty OpenSsl
fbbwht的博客
02-28 1631
网络世界 君子还是少数, 为了防范不法分子窃取我们的消息, 一般都会对消息进行加密.当然这场景相对于Java来说还是少数, 毕竟现在大部分已经上各种云,服务和服务之间通信不需要经过公网但如果你的通信链路可能需要经过外网, 那么极其建议你套一层安全层!!
Netty ssl双向认证
weixin_30549657的博客
09-03 384
生成证书及代码中有关密码的操作,请按照你们自己的需要修改成自己的 使用keytool生成证书 这个命令一般在JDK\jre\lib\security\目录下操作 keytool常用命令 参数 释义 -alias 证书的别名 -keystore 证书库的名称 -storepass 证书库的密码 -keypass 证书的密码 -list 显示密钥库中的证书信息 ...
netty+modbus tcp
09-04
Netty Modbus TCP是一种基于Netty框架的Modbus协议的实现方式。Modbus是一种常用的工业通信协议,用于在不同设备之间进行数据交换。 Netty是一个Java网络编程框架,可以快速构建高性能的网络应用程序。它提供了一组易于使用的API,用于处理各种网络通信需求,并提供了高度的可扩展性和灵活性。 Netty Modbus TCP通过使用Netty框架,将Modbus协议封装在TCP/IP上,实现了在不同设备之间进行稳定、高效的数据通信。它使用了异步、事件驱动的编程模型,可以处理大量的并发连接和并发请求。 Netty Modbus TCP具有很多优点。首先,它提供了灵活的配置选项,可以根据具体应用的需求进行定制。其次,它支持可靠的数据传输,使用TCP协议可以确保数据的准确性和可靠性。此外,它还提供了高性能的数据处理能力,可处理大规模的设备网络。 Netty Modbus TCP还提供了一些其他功能。例如,它支持多种Modbus功能码,如读取和写入寄存器、读取和写入线圈等。此外,它还支持多种数据类型的转换,如16位整数、浮点数、字符串等。 总之,Netty Modbus TCP的出现为工业设备之间的数据通信提供了高效、稳定的解决方案。它通过结合Netty框架和Modbus协议,实现了快速、可靠的数据传输,并具有灵活的配置选项和高性能的数据处理能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值