SSL双向验证--keytool实现自签名证书

最新推荐文章于 2024-07-25 15:29:08 发布
最新推荐文章于 2024-07-25 15:29:08 发布
阅读量1.1k 收藏 2
点赞数
文章标签: ssl https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a546835886/article/details/116641423
版权

 

一、服务端

1. 生成密钥库 --- kserver.keystore 是给服务端用的,其中保存着自己的私钥

keytool -genkey -alias serverkey -keystore ./kserver.keystore -dname CN=test-server,OU=CTF,O=CTF1,L=SHH,ST=SHH,C=CN -validity 36500 -keysize 1024 -keyalg RSA -storepass 123456 -v

2. 导出密钥证书kserver.cer --- 根据私钥,导出服务端证书

keytool -export -alias serverkey -keystore ./kserver.keystore  -file ./kserver.cer -storepass 123456

3. 生成服务端信任密钥库 (可以与密钥库使用同一个)

keytool -genkey -alias servertrustkey -keystore ./kservertrust.keystore -dname CN=test-server-trust,OU=CTF,O=CTF1,L=SHH,ST=SHH,C=CN -validity 36500 -keysize 1024 -keyalg RSA -storepass 123456trust -v

4. 将证书导入客户端信任库(客户端信任库在后续创建)

keytool -import -alias serverkey -file kserver.cer -keystore kclienttrust.keystore

5. 查看证书内容

keytool -list -v -keystore kserver.keystore -storepass 123456

keytool -list -v -keystore kservertrust.keystore -storepass 123456trust

 

二、客户端

1. 生成密钥库 --- kclient.keystore 是给服务端用的,其中保存着自己的私钥

 keytool -genkey -alias clientkey -keystore ./kclient.keystore -dname CN=test-client,OU=CTF,O=CTF1,L=SHH,ST=SHH,C=CN -validity 36500 -keysize 1024 -keyalg RSA -storepass 123456 -v

2. 导出密钥证书 kclient.cer --- 根据私钥,导出服务端证书

keytool -export -alias clientkey -keystore ./kclient.keystore  -file ./kclient.cer -storepass 123456

3. 生成客户端信任密钥库

keytool -genkey -alias clienttrustkey -keystore ./kclienttrust.keystore -dname CN=test-client-trust,OU=CTF,O=CTF1,L=SHH,ST=SHH,C=CN -validity 36500 -keysize 1024 -keyalg RSA -storepass 123456trust -v

此时得到如下6个文件:

 

4. 将证书导入服务端信任库  

keytool -import -alias clientkey -file kclient.cer -keystore kservertrust.keystore

5. 查看证书内容

keytool -list -v -keystore kclient.keystore -storepass 123456

keytool -list -v -keystore kclienttrust.keystore -storepass 123456trust

注:后续代码中会用到:

服务端(tomcat/weblogic):kserver.keystore、kservertrust.keystore

客户端(程序):kclient.keystore、kclienttrust.keystore

 

三、服务器配置

1.  Tomcat 服务器配置

Tomcat安装目录/conf/server.xml  中添加,其中clientAuth=true代表开启双向验证   

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="true" sslProtocol="TLS"

               keystoreFile="/home/https/kserver.keystore" keystorePass="123456"

               truststoreFile="/home/https/kserver.keystore" truststorePass="123456"/>

2. Weblogic服务器配置

  

 

最后激活重新部署。

 

四、自签名证书

自签名证书:对于每一个要链接的服务器,都要保存一个证书的验证副本,而且一旦服务器更换证书,所有客户端就需要重新部署这些副本。要解决这一问题可以使用openssl,或者使用第三方信任机构颁发的证书。

 

五、HttpsUtil工具类 - 客户端

 

/**
 * 使用httpclient4.x.x实现https双向验证
 */
public class Https4client {

    public static void main(String[] args) throws Exception {
        HttpClient httpclient = getHttpClient();
        HttpEntity entity=null;
        //1.get测试
//        HttpGet get = new HttpGet("https://自己服务器IP:端口/test/doget");
//        HttpResponse rsp = httpclient.execute(get);

        //2.post测试
        HttpPost post = new HttpPost("https://自己服务器IP:端口/test/dopost");
        StringEntity stringEntity = new StringEntity("test post method!", Charset.forName("UTF-8"));
        post.setEntity(stringEntity);
        HttpResponse rsp = httpclient.execute(post);

        entity =  rsp.getEntity();
        //用EntityUtils.toString()这个静态方法将HttpEntity转换成字符串,防止服务器返回的数据带有中文,所以在转换的时候将字符集指定成utf-8就可以了
        String result= EntityUtils.toString(entity, "UTF-8");
        System.out.println("-------------------------result:"+result+"-------------");
        if(rsp.getStatusLine().getStatusCode()==200){
            System.out.println(rsp.getStatusLine().getStatusCode()+"-----------success------------------");
        }else{
            System.out.println(rsp.getStatusLine().getStatusCode()+"------------------fail-----------");
        }

    }



    public static HttpClient getHttpClient() throws Exception{
        //设置http参数
        HttpParams params = new BasicHttpParams();
        HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);
        HttpProtocolParams.setContentCharset(params, "UTF-8");
        HttpProtocolParams.setUseExpectContinue(params, true);

        HttpConnectionParams.setConnectionTimeout(params, 5000);//连接超时
        HttpConnectionParams.setSoTimeout(params, 5000);//请求超时

        SchemeRegistry schReg = new SchemeRegistry();
        schReg.register(new Scheme("http", 80, PlainSocketFactory.getSocketFactory()));

        SSLSocketFactory sf = getBidirectionalSSL();
        schReg.register(new Scheme("https", 443, sf));

        PoolingClientConnectionManager pccm = new PoolingClientConnectionManager(
                schReg);
        pccm.setMaxTotal(100); // 客户端总并行链接最大数
        pccm.setDefaultMaxPerRoute(20); // 发送到指定主机的最大连接数
        DefaultHttpClient httpclient = new DefaultHttpClient(pccm, params);

//        //设置代理 DNS
//        HttpHost proxy = new HttpHost("10.112.24.30", 8019);
//        httpclient.getParams().setParameter(ConnRoutePNames.DEFAULT_PROXY, proxy);

        return httpclient;
    }

    /**
     * 双向ssl 设置客户端证书
     * @return
     */
    public static SSLSocketFactory getBidirectionalSSL() throws Exception {

        //客户端证书库,上面生成的kclient.keystore
        File certFile = new File(GetConfigUtil.getProjectConfig("ssl.client.keystore"));
        KeyStore ks = null;
        try {
            ks = KeyStore.getInstance("JKS");
        } catch (KeyStoreException e) {
            throw new Exception(e);
        }
        //密钥库密码 123456
        String password = "";
        try {
            password = GetConfigUtil.getProjectConfig("client.store.file.password");
            ks.load(new FileInputStream(certFile), password.toCharArray());
        } catch (NoSuchAlgorithmException e) {
            throw new Exception(e);
        } catch (CertificateException e) {
            throw new Exception(e);
        } catch (FileNotFoundException e) {
            throw new Exception(e);
        } catch (IOException e) {
            throw new Exception(e);
        }
        KeyManagerFactory kmf = null;
        try {
            kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        } catch (NoSuchAlgorithmException e) {
            throw new Exception(e);
        }
        try {
            kmf.init(ks, password.toCharArray());
        } catch (UnrecoverableKeyException e) {
            throw new Exception(e);
        } catch (KeyStoreException e) {
            throw new Exception(e);
        } catch (NoSuchAlgorithmException e) {
            throw new Exception(e);
        }

        SSLContext sslContext = null;
        try {
            sslContext = SSLContext.getInstance("TLS");
        } catch (NoSuchAlgorithmException e) {
            throw new Exception(e);
        }

        try {
            sslContext.init(kmf.getKeyManagers(), getTrustManager(), null);
        } catch (KeyManagementException e) {
            throw new Exception(e);
        } catch (Exception e) {
            throw new Exception(e);
        }
        SSLSocketFactory factory = new SSLSocketFactory(sslContext,SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
        return factory;
    }

    /**
     * 双向SSL 认证服务器的证书
     * @return
     * @throws Exception
     */
    public static TrustManager[] getTrustManager() throws Exception{

        TrustManager[] trustManager=null;
        String password = "";
        //上面生成的kclienttrust.keystore
        String publicKey = GetConfigUtil.getProjectConfig("ssl.clienttrust.keystore");

        if(null ==publicKey ||"".equals(publicKey)){
            throw new RuntimeException("信任库证书未配置");
        }else{
            //第三方机构服务器的公钥证书
            File publicFile = new File(publicKey);
            KeyStore pks = KeyStore.getInstance("JKS");
            password = GetConfigUtil.getProjectConfig("client.trust.file.password");
            pks.load(new FileInputStream(publicFile), password.toCharArray());
            TrustManagerFactory tmf = TrustManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
            tmf.init(pks);
            trustManager = tmf.getTrustManagers();
        }

        return trustManager;
    }

}

GetConfigUtil我就不贴了吧,还是要自己动动脑子的,不能彻底无脑CV流~~

算了我还是分享出来吧

项目地址:https://gitee.com/defense-of-the-anciant2/market-purchase

傲来雾-花果香
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
keytool生成自签名证书或CA根证书
weixin_40857858的博客
08-18 1656
1、keytool生成自签名证书 @echo on #1.生成密匙库 keytool -genkeypair -keyalg RSA -dname "CN=localhost" -alias client -keystore client.jks -keypass cccccc -storepass cccccc #2.导出条目为自签名证书 keytool -exportcert -file client.cer -alias client -keystore client.jks -storepass c
用Keytool和OpenSSL生成和签发数字证书
iteye_13789的博客
07-07 303
一)keytool生成私钥文件(.key)和签名请求文件(.csr),openssl签发数字证书J2SDK在目录%JAVA_HOME%/bin提供了密钥库管理工具Keytool,用于管理密钥、证书证书链。Keytool工具的命令在JavaSE6中已经改变,不过以前的命令仍然支持。Keytool也可以用来管理对称加密算法中的密钥。最简单的命令是生成一个自签名证书,并把它放到指定的keystore...
雷池社区版自动SSL
2304_81660401的博客
06-21 295
去站点管理,配置ssl,加上证书,域名没写错的话所有站点都可以选择这一个证书 服务器上查找雷池的安装目录,默认应该在 /data/safeline,找到对应的ssl证书从此ssl不用管了,全自动续期
springboot基于keytool实现https的双向认证
BestEternity的博客
06-27 2282
springboot基于keytool实现https的双向认证
SpringBoot结合keytool配置ssl双向认证通信
天天向上
11-10 2855
SpringBoot结合keytool配置ssl双向认证通信。 keytool、SpringBoot、restTemplate、ssl双向认证、https、keystore、jks。
ssl认证、证书SSL 证书基本概念、证书格式、openssl和keytool的区别
m0_45406092的博客
03-30 1898
csr 是证书请求文件,由客户生成,然后提供给CA签发机构,是由 RFC 2986定义的PKCS10格式,包含部分/全部的请求证书的信息,比如,主题, 机构,国家等,并且包含了请求证书的公玥,这些被CA签发机构中心签名后返回一张证书。前面我们知道了二进制和文本形式的证书格式,那么为了便于用户识别证书的协议等信息,约定了一些后缀,通过后缀,用户大概就知道了证书的一些信息。der 和pem 是协议,又可以直接作为后缀名,让用户知道是用二进制还是文本存储的,但是具体的内容可以是证书,也可以是密钥。
SSL双向认证-自签CA证书生成
localhost
09-14 610
注意这里的Common Name不要与服务器证书或客户端证书的域名相同,这里使用 root。SSL双向认证需要CA证书,开发过程可以利用自签CA证书进行调试验证。邮箱地址,比如 test@qq.com。邮箱地址,比如 test@qq.com。所在公司的部门拼音,比如 yanfa。所在公司的部门拼音,比如 yanfa。地市拼音,比如 guangzhou。地市拼音,比如 guangzhou。公司名称拼音,比如 test。域名或者ip,比如 root。公司名称拼音,比如 test。密码,比如 123456。
使用JDK自带工具keytool生成ssl证书
仗剑天涯
03-05 510
本文转载自点击打开链接 HTTPS简介 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种网络安全传输协议。具体介绍以前先来介绍一下以前常见的HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也...
【https】Self-Signed SSL证书创建和使用
dualvencsdn的博客
07-15 3510
一般可用于个人测试使用和非域名https访问,通常CA机构不支持颁发IP证书,只有个别OV机构支持公网IP证书,但只能用于大型机构组织的网站。Whentheserver.keyserver.csrfiles.Theserver.crtserver.key其中server.key为服务端私钥文件,用于后续传输加解密。server.crt为签好名的证书文件,其中包含了服务描述信息和公钥,用于发往客户端进行合法验证,公钥用于后续传输加解密。以最新版本nginx启用ssl配置为例3.重载nginx配置信息。....
SpringBoot-okhttp3-keytool自签名-https单向认证和双向认证
10-25 562
一、前言 HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 [1] 。HTTPS 在HTTP 的基础下加入SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。 .
基于Tomcat搭建SSL双向认证示例【100012422】
05-24
在IT行业中,安全通信是至关重要的,特别是...通过上述步骤,你可以在Tomcat上实现一个完整的SSL双向认证环境,并利用Java和Apache HttpClient进行安全的通信。这个过程对于理解网络安全和提高应用安全性具有重要意义。
apache-tomcat配置SSL双向认证
02-26
Apache Tomcat配置SSL双向认证是实现安全通信的重要步骤,尤其对于需要高度安全性的Web应用程序。在本文中,我们将深入探讨如何在Tomcat 6环境中设置SSL双向认证,确保客户端和服务器之间的通信既加密又经过身份验证...
SSL双向认证证书制作过程流程
08-07
SSL双向认证证书制作过程主要涉及...总的来说,SSL双向认证证书的制作涉及到密钥库生成、自签名证书创建、公钥的导出和导入,以及最终在客户端的证书导入。这个过程确保了网络通信双方的互信,提升了数据传输的安全性。
Tomcat配置SSL双向认证
03-23
### Tomcat配置SSL双向认证详解 #### 一、SSL双向认证概述 SSL(Secure Sockets Layer,安全套接层)是一种用于确保Web通信安全的技术,它通过加密数据传输来保护信息不被未授权访问。SSL协议的核心是实现客户端与...
客户端与服务器SSL双向认证(客户端:java-服务端:java)
04-23
- 服务器证书:首先,你需要为服务器生成一个自我签名证书,这可以通过Java的keytool工具完成。创建一个Key Pair(公钥和私钥),然后将公钥打包成X.509证书。 - 客户端证书:类似地,也需要为客户端生成一个...
SSL VPN详细概述
qq_67758645的博客
07-25 844
在客户端中,可以携带这个会话,可以携带这个会话的复用票据,用于省略会话建立过程中,身份认证的环节,进协商算法和密钥即可。
SSL vpn远程接入配置实验
earthtoearth的博客
07-25 1142
127.0.0.1 255.255.255.255 在链路上 127.0.0.1 331。255.255.255.255 255.255.255.255 在链路上 127.0.0.1 331。255.255.255.255 255.255.255.255 在链路上 155.1.2.10 281。
OpenSSL学习笔记及在项目中的使用
最新发布
Kixuan214的博客
07-25 891
OpenSSL官方命令手册:OpenSSL commands - OpenSSL Documentation参考教程:操作:OpenSSL的基本使用教程(一)_openssl.exe使用教程-CSDN博客操作:Linux和Shell回炉复习系列文章总目录 - 骏马金龙 - 博客园 (cnblogs.com)网站应用:最新OpenSSL简明教程_openssl使用教程-CSDN博客一个完整的RSA私钥包含了以下几个关键参数::通常用于表示私钥或公钥文件。这个后缀比较通用,可以表示任何类型的加密密钥。 (私钥)
使用keytool生成自签名证书
05-22
使用 keytool 生成自签名证书的步骤如下: 1. 打开命令行窗口,进入到 Java 安装目录下的 bin 目录(通常在 C:\Program Files\Java\jdk[版本号]\bin)。 2. 输入以下命令,生成密钥库文件: ```keytool -genkey -alias mykey -keyalg RSA -keystore keystore.jks -validity 365``` 这里的 mykey 是你的密钥的名字,keystore.jks 是你的密钥库文件的名字,validity 是证书的有效期(单位是天)。 3. 按照提示输入密钥库的密码、名字、组织单位名称等信息。 4. 输入以下命令,生成自签名证书: ```keytool -export -alias mykey -file mycert.cer -keystore keystore.jks``` 这里的 mykey 是你的密钥的名字,mycert.cer 是你要生成的自签名证书的名字,keystore.jks 是你的密钥库文件的名字。 5. 输入密钥库的密码,即可生成自签名证书文件。 注意: - 自签名证书是由自己签发的,不受信任的证书机构颁发,因此浏览器会提示证书不受信任。 - 自签名证书只能用于测试,不能用于正式环境。如果需要用于正式环境,需要向信任的证书机构申请正式的 SSL 证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值