DNS校验,SSL证书校验

最新推荐文章于 2024-08-14 02:43:23 发布
最新推荐文章于 2024-08-14 02:43:23 发布
阅读量1k 收藏 2
点赞数
文章标签: dns服务器 ssl openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_lyh/article/details/109771041
版权 
import cn.hutool.core.util.StrUtil;
import cn.hutool.crypto.asymmetric.KeyType;
import cn.hutool.crypto.asymmetric.RSA;
import cn.hutool.http.HttpUtil;
import com.faraway.pdemo.exception.DefinedException;
import lombok.extern.slf4j.Slf4j;
import org.bouncycastle.asn1.pkcs.RSAPrivateKey;
import org.bouncycastle.util.io.pem.PemObject;
import org.bouncycastle.util.io.pem.PemReader;
import org.xbill.DNS.CNAMERecord;
import org.xbill.DNS.Lookup;
import org.xbill.DNS.Record;
import org.xbill.DNS.Type;

import java.io.*;
import java.security.KeyFactory;
import java.security.PrivateKey;
import java.security.PublicKey;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.RSAPrivateKeySpec;
import java.util.Date;

/**
 * <dependency>
 * <groupId>cn.hutool</groupId>
 * <artifactId>hutool-all</artifactId>
 * <version>5.4.5</version>
 * </dependency>
 *
 * <dependency>
 * <groupId>dnsjava</groupId>
 * <artifactId>dnsjava</artifactId>
 * <version>3.3.1</version>
 * </dependency>
 *
 * <dependency>
 * <groupId>org.bouncycastle</groupId>
 * <artifactId>bcprov-jdk15on</artifactId>
 * <version>1.67</version>
 * </dependency>
 *
 * <dependency>
 * <groupId>org.projectlombok</groupId>
 * <artifactId>lombok</artifactId>
 * <version>1.18.12</version>
 * <scope>provided</scope>
 * </dependency>
 */
@Slf4j
public class DNSAndSSLUtil {

    /**
     * 校验域名和记录值是否匹配
     * 作用:甲方域名指向乙方域名,乙方域名指向自己的服务,确保甲方填写的记录值是乙方提供的,这样才能正常提供服务
     *
     * @param domainFromA 域名      甲方提供
     * @param valueFromB  记录值    乙方提供
     * @throws DefinedException 自定义异常
     * @throws Exception
     * @Description 流程:用阿里云举例
     * 1.(甲方)登录阿里云的云解析DNS/域名解析/解析设置
     * 2.(甲方)添加记录 > 记录类型:CNAME;主机记录:起一个二级域名;记录值:乙方提供(例如七牛云:image.langflying.com.qiniudns.com)
     * 3.(乙方)通过第三方工具(dnsjava),甲方将二级域名给乙方,通过下方代码反解析出记录值,将反解析的记录值与我们提供的对比,看是否一致,一致则校验通过
     */
    public static void checkDNS(String domainFromA, String valueFromB) throws DefinedException, Exception {
        // 提供域名给第三方
        Lookup lookup = new Lookup(domainFromA, Type.CNAME);
        lookup.run();
        if (lookup.getResult() != Lookup.SUCCESSFUL) {
            throw new DefinedException("未查询到该域名");
        }
        Record[] records = lookup.getAnswers();
        for (int i = 0; i < records.length; i++) {
            CNAMERecord cnameRecord = (CNAMERecord) records[i];
            if (cnameRecord == null || cnameRecord.getTarget() == null || StrUtil.isBlank(cnameRecord.getTarget().toString())) {
                throw new DefinedException("域名的记录值为空");
            }
            // 通过域名查询到记录值
            String parseValue = cnameRecord.getTarget().toString();
            // 获取到的记录值最后会多一个".",例如(image.langflying.com.qiniudns.com.),这里处理一下,移除掉
            String valueWithRemoveLastPoint = parseValue.substring(0, parseValue.length() - 1);
            // 将反解析的记录值与我们提供的记录值对比
            if (!valueWithRemoveLastPoint.trim().equals(valueFromB.trim())) {
                throw new DefinedException("域名与记录值不匹配");
            }
        }
    }

    /**
     * 证书校验:是否过期,拥有者是否正确
     *
     * @param domain         域名
     * @param certificateUrl https证书
     * @throws DefinedException 自定义异常
     */
    public static void checkCert(String domain, String certificateUrl) throws DefinedException {
        try {
            // 拆分域名并一级域名
            String[] split = domain.split("\\.");
            String domainName = split[split.length - 2];
            // 从远程地址读取证书文件(本地更好,直接读文件)
            File certificateFile = HttpUtil.downloadFileFromUrl(certificateUrl, "");
            InputStream is = new FileInputStream(certificateFile);
            // 创建X509工厂类
            CertificateFactory factory = CertificateFactory.getInstance("X.509");
            // 创建证书对象
            X509Certificate cert = (X509Certificate) factory.generateCertificate(is);
            is.close();
            // 获取证书过期时间
            Date afterDate = cert.getNotAfter();
            Date now = new Date();
            if (now.compareTo(afterDate) == 1) {
                throw new DefinedException("证书已过期");
            }
            //获得证书主体信息(即一级域名)
            String owner = cert.getSubjectDN().getName();
            if (!owner.contains(domainName)) {
                throw new DefinedException("该证书不属于[" + domain + "]");
            }
        } catch (Exception e) {
            e.printStackTrace();
            throw new DefinedException("解析证书出错");
        }
    }

    /*public static void showCertInfo() {
        try {
            //读取证书文件
            File file = new File("e://ICINFOCERTS//天谷证书.cer");
            InputStream inStream = new FileInputStream(file);
            //创建X509工厂类
            CertificateFactory cf = CertificateFactory.getInstance("X.509");
            //创建证书对象
            X509Certificate oCert = (X509Certificate) cf.generateCertificate(inStream);
            inStream.close();
            SimpleDateFormat dateformat = new SimpleDateFormat("yyyy/MM/dd");
            String info;
            //获得证书版本
            info = String.valueOf(oCert.getVersion());
            System.out.println("证书版本:" + info);
            //获得证书序列号
            info = oCert.getSerialNumber().toString(16);
            System.out.println("证书序列号:" + info);
            //获得证书有效期
            Date beforeDate = oCert.getNotBefore();
            info = dateformat.format(beforeDate);
            System.out.println("证书生效日期:" + info);
            Date afterDate = oCert.getNotAfter();
            info = dateformat.format(afterDate);
            System.out.println("证书失效日期:" + info);
            //获得证书主体信息
            info = oCert.getSubjectDN().getName();
            System.out.println("证书拥有者:" + info);
            //获得证书颁发者信息
            info = oCert.getIssuerDN().getName();
            System.out.println("证书颁发者:" + info);
            //获得证书签名算法名称
            info = oCert.getSigAlgName();
            System.out.println("证书签名算法:" + info);
            // 下方一般不需要
            *//*byte[] byt = oCert.getExtensionValue("1.2.86.11.7.9");
            String strExt = new String(byt);
            System.out.println("证书扩展域:" + strExt);
            byt = oCert.getExtensionValue("1.2.86.11.7.1.8");
            String strExt2 = new String(byt);
            System.out.println("证书扩展域2:" + strExt2);*//*
        } catch (Exception e) {
            System.out.println("解析证书出错!");
        }
    }*/

    /**
     * 验证证书私钥是否匹配(即文件通过公钥加密私钥解密后不变)
     *
     * @param publicKeyFileUrl  公钥文件远程地址(不是远程更好,直接获取文件)
     * @param privateKeyFileUrl 私钥文件远程地址(不是远程更好,直接获取文件)
     * @return
     */
    public static void certValid(String publicKeyFileUrl, String privateKeyFileUrl) throws DefinedException {

        try {
            File publicKeyFile = HttpUtil.downloadFileFromUrl(publicKeyFileUrl, "");
            File privateKeyFile = HttpUtil.downloadFileFromUrl(privateKeyFileUrl, "");

            PublicKey publicKey = getPublicKey(publicKeyFile);
            if (publicKey == null) {
                throw new DefinedException("获取公钥失败");
            }
            PrivateKey privateKey = getPrivateKey(privateKeyFile);
            if (privateKey == null) {
                throw new DefinedException("获取私钥失败");
            }
            // tutool工具包
            RSA rsa = new RSA(privateKey, publicKey);
            String sourceStr = "HelloWorld";
            // 公钥加密
            String encryptStr = rsa.encryptBase64(sourceStr, KeyType.PublicKey);
            // 私钥解密
            String decryptStr = rsa.decryptStr(encryptStr, KeyType.PrivateKey);
            // 字符串根据证书公钥加密,私钥解密后不能还原说明证书与私钥不匹配
            if (!sourceStr.equals(decryptStr)) {
                throw new DefinedException("证书私钥不匹配");
            }
        } catch (Exception e) {
            log.error("验证证书私钥是否匹配失败!", e);
            throw new DefinedException("验证证书私钥是否匹配失败");
        }
    }

    /**
     * 获取Https私钥
     *
     * @param privateKeyFile 私钥文件
     * @return
     */
    public static PrivateKey getPrivateKey(File privateKeyFile) {
        PemReader pemReader = null;
        PrivateKey privateKey = null;
        try {
            pemReader = new PemReader(new FileReader(privateKeyFile));
            PemObject pemObject = pemReader.readPemObject();
            byte[] pemContent = pemObject.getContent();
            //支持从PKCS#1或PKCS#8 格式的私钥文件中提取私钥
            if (pemObject.getType().endsWith("RSA PRIVATE KEY")) {
                // 取得私钥 for PKCS#1
                RSAPrivateKey rsaPrivateKey = RSAPrivateKey.getInstance(pemContent);
                RSAPrivateKeySpec rsaPrivateKeySpec = new RSAPrivateKeySpec(rsaPrivateKey.getModulus(), rsaPrivateKey.getPrivateExponent());
                KeyFactory keyFactory = KeyFactory.getInstance("RSA");
                privateKey = keyFactory.generatePrivate(rsaPrivateKeySpec);
            } else if (pemObject.getType().endsWith("PRIVATE KEY")) {
                // 取得私钥 for PKCS#8
                PKCS8EncodedKeySpec pkcs8EncodedKeySpec = new PKCS8EncodedKeySpec(pemContent);
                KeyFactory kf = KeyFactory.getInstance("RSA");
                privateKey = kf.generatePrivate(pkcs8EncodedKeySpec);
            }
        } catch (Exception e) {
            log.error("获取私钥失败!", e);
        } finally {
            try {
                if (pemReader != null) {
                    pemReader.close();
                }
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        return privateKey;
    }

    /**
     * 获取Https公钥
     *
     * @param publicKeyFile 公钥文件
     * @return
     */
    public static PublicKey getPublicKey(File publicKeyFile) {
        PublicKey publicKey = null;
        try {
            CertificateFactory factory = CertificateFactory.getInstance("X.509");
            FileInputStream in = new FileInputStream(publicKeyFile);
            Certificate cert = factory.generateCertificate(in);
            publicKey = cert.getPublicKey();
        } catch (Exception e) {
            log.error("获取公钥文件失败!", e);
        }
        return publicKey;
    }
}

 

 
浪浪卜浪
关注
一文读懂 HTTPS :HTTPS握手与TLS证书校验
bjxiaxueliang的CODING技术小馆
06-23 1975
HTTPS协议详解 从事移动互联网软件开发的小伙伴肯定了解:自Android 9.0开始,应用程序的网络请求默认使用https;基本是同期苹果IOS在应用网络请求方面,也强制使用https禁止http。 这一期间如果你去面试,不了解Https的握手过程,都不好意思讲工资。 本人一个普通程序员,项目期间工期紧张,并未抽出时间详细了解Https网络请求过程中TLS握手过程,因此这件事一直在我的待办记录中… 这篇文章以Wireshark抓包,详细了解Https请求中TLS的握手过程 与 客户端证书校验过程。 H
SSL证书验证怎么做?有几种方式?
m0_72559519的博客
07-28 658
方式验证通过即可签发,但是不同的证书平台签发速度不太一样。选择服务器文件验证方式的用户,在使用前必须要有服务器的管理权限,如果没有管理权限,无法上传文件,那么证书是无法签发的,只能更换其他验证方式。中科三方具有比较健全的证书管理机制和良好的服务意识,提供一站式SSL证书服务,可快速实现SSL证书的签发、验证和安装,第一时间解决用户在使用SSL证书过程中遇到的问题,随时随地保障用户的网站和数据安全。一张SSL证书的获取,需要经历不少环节,其中比较重要的一点就是,SSL证书的签发需要验证通过后才能签发。....
Java验证邮箱有效性和真实性
热门推荐
beagreatprogrammer的专栏
04-14 1万+
Java验证邮箱是否真实存在有效 要检测邮箱是否真实存在,必须了解两方面知识: 1. MX记录,winodws的nslookup命令。查看学习 2. SMTP协议,如何通过telnet发送邮件。查看学习 有个网站可以校验,http://verify-email.org/, 不过一小时只允许验证10次。 代码如下: import java.io.IOException; import
SSL证书域名验证
CTIshuzihuafuwu的博客
06-28 561
如果您选择的是网站控制权验证,按域名验证界面网站验证方式中的内容,创建指定的.txt文件,并编辑为指定值,放在网站根目录的.well-known\pki-validation\目录下,访问路径: http://domain/.well-known/pki-validation/xxx.txt。然后在桌面进入d:\root\.well-known\pki-validation目录,创建指定的xxx.txt文件名,并赋予指定的值XXX。然后通过vi编辑器创建指定的xxx.txt文件名,并赋予指定的值XXX。
DNS查询名称如何与CNAME记录关联:详细解析
最新发布
weixin_36415235的博客
08-14 60
DNS系统中,DNS query name(DNS查询名称)是指DNS客户端查询的域名。例如,如果你在浏览器中输入www.example.com,那么www.example.com就是DNS查询名称。DNS系统会根据这个名称查找相应的DNS记录。与CNAME关联的过程如下:查询发起: 当DNS客户端(比如浏览器或其他网络...
申请SSL证书如何进行操作DNS域名验证
m0_61462682的博客
04-26 1918
我们在申请SSL证书时,要将生成的CSR文件及申请资料提交给可信的CA机构审核,其中域名验证是必不可少的,通过域名验证来证明待申请的SSL证书要绑定的域名是属于我们的。域名验证有多种方式,包括DNS验证(自动或手动验证)、文件验证、邮箱验证等。本文主要介绍下SSL证书自动DNS验证的方法步骤,下面一起来了解下。 自动DNS验证是指授权SCM服务修改域名的DNS解析记录,自动在解析记录中添加一条用于验证的TXT类型记录,无需我们手动修改域名解析记录。CA机构验证TXT记录能被解析,则表示域名验证通过。.
DNS验证证书
dl_wdp的博客
09-07 2299
DNS验证证书 DNS验证:验证对申请证书的域名有DNS解析的权限,需要根据CA给出的DNS TXT记录,增加到域名的DNS解析中去,CA会验证这条TXT记录是否生效,一旦查到这条TXT记录,就会完成验证。 可以在域名的DNS服务商网站平台,添加这条TXT记录,以下以阿里云(万网)为例简要说明: 1.1:登陆阿里云域名管理后台,进入:产品管理-管理控制台-域名与网站(万网) - 云解析DNS 。 1.2:选择需要配置的域名,点击“解析设置”。 1.3:选择“添加解析”,记录类型选“TXT”: 1.4:根据上
申请域名型证书如何通过DNS记录验证域名所有权
u014443416的博客
04-29 587
申请域名型证书,可以通过以下方式验证域名的所有权
linux dns验证失败,申请SSL证书审核失败的原因和解决方法(DNS验证篇)
weixin_39869693的博客
05-13 678
原标题:申请SSL证书审核失败的原因和解决方法(DNS验证篇)如果用户在提交SSL证书审核时使用DNS验证方式进行验证,检查配置时可能会收到未检测到DNS配置内容的返回结果。这种情况下的数字证书审核申请失败是由多个原因造成的。为了更清晰失败的原因,建议使用以下方式查询DNS解析记录值,分析您的域名验证字符串输出信息,确保已正确配置了DNS解析记录。Windows:使用nslookup 命令查询域名...
kingbase SSL证书
04-15
Kingbase SSL证书是网络安全领域中的一个重要概念,它主要用于保护网络通信的安全性,特别是在进行敏感信息交换时,如网上银行、电子商务、电子邮件等场景。SSL(Secure Socket Layer)是安全套接层的缩写,它是...
Nginx 域名SSL证书配置(网站 http 升级为 https)
09-29
HTTP(超文本传输协议)是无加密的,而HTTPS(超文本传输安全协议)则是基于SSL/TLS协议的,能提供数据加密、服务器身份验证和消息完整性校验,有效防止数据被窃取或篡改。本文将详细介绍如何在Nginx服务器上配置SSL...
dnsjava 工具类,里面包含org.xbill.dns
09-14
dnsjava 工具类,里面包含org.xbill.dns
【实战加详解】二进制部署k8s高可用集群教程系列二 - ssl 证书简介
JohnYang's CSDN Home
10-12 1018
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
JAVA验证邮箱是否有效
梦寒君的博客
06-07 3841
JAVA验证邮箱是否有效
dnsjava network error 解决办法
emailyoyo的专栏
11-21 1968
import org.xbill.DNS.Lookup; import org.xbill.DNS.Record; import org.xbill.DNS.TextParseException; import org.xbill.DNS.Type; import java.util.*; //import org.xbill.DNS.Lookup; //import org.xbill.DN
java获取dns记录,Java DNS查找SRV记录
weixin_42234804的博客
02-26 344
In the below java code, I am making a DNS SRV record lookup to resolve the target domain name and associated port for a given domain name such as root@1000000000.blubluzone.com. The lookup function in...
获取http的get或者post请求,返回文件流的处理方式记录,包含:file转MultipartFile、hutool工具包使用等方法
Ran2021的博客
04-14 997
下面案例为,请求url后,返回文件流,然后处理完成后,上传到minio;http请求url,返回的是文件流,怎么处理这个文件流方案。案例使用的是hutool工具包,请导入相关maven依赖;
使用hutool工具类HttpUtil请求外部接口传输文件
Y175123213的博客
10-17 2384
外部服务器请求系统文件接口,系统接口返回文件流,并下载到本地。使用HttpUtil调用外部接口,实现文件下载到本地。
java从http url下载文件的简单方法
programdolt的专栏
03-01 3346
[code="java"] import java.io.File; import java.net.URL; import org.apache.commons.io.FileUtils; public class DownloadURLFile { /** * @param args */ public static void main(String...
Kafka SSL加密与CA签名校验部署教程
Kafka认证加密部署指南 ...总结来说,这篇文档详细介绍了Kafka集群的SSL加密和认证部署流程,包括密钥和证书的生成、主机名验证的配置、自定义CA的创建以及证书的验证方法,这些都是确保Kafka网络通信安全的关键步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值