本地生成证书,完成ssl双向认证

最新推荐文章于 2021-05-08 15:02:24 发布
最新推荐文章于 2021-05-08 15:02:24 发布
阅读量514 收藏
点赞数
文章标签: ssl socket java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiaWei2438/article/details/106534229
版权

看完计算机网络,最近在项目中遇到了双向认证的问题,想着自己实现一发。

双向认证

即客户端和服务端都需要对各自的证书进行校验,当校验完成才能正常通信。那么就有两个问题,
第一:客户端和服务端的证书如何获取,
第二:如何实现对各自证书的校验。
我们知道,当客户端向服务端发起请求时,服务端会将自己的证书发送给客户端,客户端会在自己的维护的证书库中匹配,当匹配完成,会将客户端的证书发送给服务端,服务端在自己维护的证书库中查找,如果双方均匹配成功,则认证完成,实现通信

我们使用java自带的keytool工具完成证书和信任库的生成。
keytool工具是java环境下的密钥和证书的管理工具,它将证书和密钥存储在keystone的文件中

客户端密钥

keytool -genkey -alias wjwclient -keyalg RSA -keysize 2048  -keystore Z:\TEST\wjwclient.keystone -validity 36500 

keytool -importkeystore -srckeystore Z:\TEST\wjwclient.keystone -destkeystore Z:\TEST\wjwclient.keystone -deststoretype pkcs12

使用命令生成客户端的密钥,可以发现提示建议使用另外一种标准PKCS12格式.需要知道的是keystone文件可以导出各种格式的证书文件,CER,P12,PEM等,我们可以先完成keystone文件的导出,然后完成不同证书文件的生成。

在这里插入图片描述
在这里插入图片描述

客户端证书

使用keystone文件导出客户端的jks文件

keytool -export -alias wjwclient -keystore Z:\TEST\wjwclient.keystone -file Z:\TEST\wjwclient.jks

在这里插入图片描述

服务端密钥

keytool -genkey -alias wjwserver -keyalg RSA -keysize 2048  -keystore Z:\TEST\wjwserver.keystone -validity 36500 

keytool -importkeystore -srckeystore Z:\TEST\wjwserver.keystone -destkeystore Z:\TEST\wjwserver.keystone -deststoretype pkcs12

在这里插入图片描述

服务端证书

keytool -export -alias wjwserver -keystore Z:\TEST\wjwserver.keystone -file Z:\TEST\wjwserver.jks

在这里插入图片描述

生成客户端和服务端都信任的信任库truststone

分别将客户端和服务端的证书添加进去

keytool -import -alias wjwclient -file Z:\TEST\wjwclient.jks -keystore Z:\TEST\wjwtrust.jks
keytool -import -alias wjwserver -file Z:\TEST\wjwserver.jks -keystore Z:\TEST\wjwtrust.jks

在这里插入图片描述
在这里插入图片描述
建议在证书生成完成之后,使用命令查看下证书是否能够正常打开。

keytool -list -v -keystore 证书路径

至此所有的证书和信任库已经制作完成,我们来编写双向认证的代码吧!

客户端
/**
 * 双向认证客户端
 *
 * @author 吧嘻小米
 * @date 2020/06/03
 */
public class Client {
   
    private static final String CLIENT_CER = "keystore证书的路径";

    private static final String CLIENT_PASSWORD = "keystore证书的密码";

    private static final String TRUST_STONE = "truststore证书的路径";

    private static final String TRUST_STONE_PASSWORD = "truststore证书的密码";


    public static void main(String[] args) {
   
        try {
   
            KeyManagerFactory keyManagerFactory = keyStoreCertification(CLIENT_CER, CLIENT_PASSWORD);

            TrustManagerFactory trustManagerFactory = trustStoreCertification(TRUST_STONE, TRUST_STONE_PASSWORD);

            SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
            sslContext.init(keyManagerFactory.getKeyManagers()
最低0.47元/天 解锁文章
吧嘻小米
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
keytool证书工具详解(一)
u013083465的专栏
04-23 842
keytool证书工具详解(一)
SSL证书以及其验证过程
qwe1765667234的博客
05-03 4582
本文整理了SSL证书的一些知识,主要是对与整个证书链验证原理的介绍,不涉及具体的报文细节 SSL证书内容 SSL证书是通信过程中一方的身份证明,用来发送给通信的另一方来证实自己的身份。其内容主要包括一些与自身相关的信息和与证书相关的信息以及自己的公钥。 一些明文信息 自己的公钥 CA的数字签名 CA机构签名过程 CA机构对服务端进行验证后(CA有自己的验证方式,线上或者线下都有),对服务器的明文信息先进行hash,得到摘要,然后用自己的私钥对摘要进行加密,得到数字签名。将签名和证
SSL/TLS
xymyeah
04-23 3264
  SSL/TLSSecure Sockets Layer is defined by NetscapeCommunications Corporation for securing HTTP connections. Because SSLis implemented in Netscapes browsers, it has become a de factostanda
SSL certification verify
wz200210c的专栏
07-17 1081
SSL Certificate Verification SSL is TLS SSL is the old name. It is called TLS these days. Native SSL If libcurl was built with Schannel or Secure Transport support (the native SSL libraries in
OpenSSL SSL_read: Connection was reset, errno 10054
牧空的博客
04-09 1万+
使用HTTPS克隆项目时会出现如下问题 这是服务器的SSL证书没有经过第三方机构的签署,所以报错。 解决办法: git config --global http.sslVerify "false"
本地https证书生成步骤
赵旭的博客
03-01 7836
步骤一:生成证书keytool -genkey -v -alias tonguas -validity 3650  -keyalg RSA -keypass ucap123 -storepass ucap123 -keystore tonguas.keystore步骤二:导出证书keytool -export -alias tonguas -keystore tonguas.keystore -f...
ssl双向认证-openssl生成证书
zyw19871007的专栏
07-23 2356
一、前言 已有教程大部分是使用jdk自带keytool生成自签名证书,自己测试可以的,但是用于生成时,在双向认证中服务器认证客户端时,不可避免的每增加一个客户,服务器端需要添加信任列表。 解决方法:使用同一ca签名过的服务器和若干客户端,服务器只需要添加该ca的认证即可。 二、链接 1 keytool 签名:http://www.cnblogs.com/youxia/p/java002.ht
https双向认证 .doc
08-19
三、生成证书 我们需要提前准备好自签名证书,可以使用openssl生成,也可以使用jdk自带的keytool生成。Windows操作系统可能没有openssl,可能需要先安装一个openssl的window版本。 自签名证书用于和服务端表明...
SSL MakeCert / pvk2pfx&客户端和服务器证书生成
04-07
总结来说,"SSL MakeCert / pvk2pfx & 客户端和服务器证书生成"涵盖了创建自签名SSL证书的完整过程,包括使用MakeCert生成证书,用pvk2pfx合并证书和私钥,以及如何在IIS中配置这些证书。这个过程对于开发和测试环境...
Gmssl两种证书demo
03-17
7. 验证安装:安装完成后,访问你的网站,检查地址栏是否显示锁定图标,以确认证书已正确安装并启用。此外,可以使用在线工具检查SSL配置是否安全无误。 在压缩包“GMSSL证书demo”中,可能包含了示例的CSR文件、...
Tomcat 开启基于https的SSL配置
05-28
keystoreFile="你的 keystore 路径" keystorePass="生成证书时的口令" /> ``` 其中: * port:HTTPS 的端口,默认 8443 * clientAuth:设置是否双向验证,默认为 false,设置为 true 代表双向验证 * keystoreFile...
openssl生成认证文件
12-16
2. **创建CSR**: 基于私钥,使用`openssl req`生成证书签名请求。CSR包含了组织信息、地理位置等,这些信息将被包含在最终的证书中。 3. **签发证书**: 如果是自签名证书,可以直接用私钥签署CSR,使用`openssl x509...
TLS证书生成过程
phachon的博客
03-13 5102
TLS 证书生成:http://blog.csdn.net/abcd1101/article/details/71512809 TLS 握手:http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html
linux自动生成证书,Linux生成TLS证书
weixin_34690611的博客
05-08 998
安装acme.sh证书生成有许多方法,这里使用的是比较简单的方法:使用acme.sh脚本生成。注意:针对debian9系统,在执行安装acme.sh脚本之前,需要提前安装必备软件包。不然会有提示"It is recommended to install socat first"等错误信息提示。必备软件包安装执行命令:apt-get update && apt-get inst...
SSLContext 去除证书验证
qq_35969767的博客
10-13 7642
private static Logger log = LoggerFactory.getLogger(CommonUtil.class);     private static final String APPLICATION_JSON = "application/json";     private static final String CONTENT_TYPE_TEXT_JSON
https 单向认证双向认证
茅坤宝骏氹的博客
06-10 2926
转载自   https 单向认证双向认证 一、Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80 二、Https Hyper Text Transfer Protocol ov...
OpenStack关键技术系列: KeyStone鉴权认证系统详解
架构师技术联盟
05-30 2491
      今天,我们深入到每一个服务组件详细的来说说OpenStack了,接下来还是从比较重要的Keystone组件服务说起。      先来举几个平时能够看到的例子:...
Nginx的浏览器/服务器双向SSL证书认证配置
热门推荐
rosw的专栏
12-03 1万+
最近的项目中需要安全性控制,而我又懒得改动后台的程序代码,故而想在反向代理层加入SSL证书验证。一直在用Nginx做反向代理,但是其SSL的配置只用过普通的服务端单向证书。在Google,百度狂搜一通之后,一无所获,依旧是那老三样,只有单向认证的示例。浏览器端双向认证的配置好像从没人写过。无奈之下,只好从OpenSSL的客户端证书开始学起,一点一点啃,大段大段的E文让我这半瓶子醋看的头晕眼晕。最后

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值