SSL/TLS 单双向认证代码示例

最新推荐文章于 2024-05-28 17:22:23 发布
最新推荐文章于 2024-05-28 17:22:23 发布
阅读量3.7k 收藏 5
点赞数 1
分类专栏: Java 文章标签: SSL TLS X509 keytool
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fly_leopard/article/details/78810834
版权

采用SSL/TLS形式的安全链接,能防止数据传输过程中被截获修改等问题。

SSL算法简短说明:

    对称加密算法:DES 3DES AES 客户端和服务端使用同一个密钥对消息进行加密解密。
    非对称加密算法:RSA, 生成公钥和私钥,采用公钥加密,私钥解密。客户端和服务器端各自持有自己的私钥证书,相互信任对方的证书(证书都导入到了对方的私钥仓库)
    速度上,对称加密算法比非对称加密算法要快。

 

下面使用jdk工具keytool生成服务端和客户端的密钥和证书,采用的是RSA的非对称加密形式。

生成服务器端证书仓库

keytool -genkey -alias serverks -keysize 2048 -validity 365 -keyalg RSA -dname "CN=localhost" -keypass serverpwd -storepass serverpwd -keystore D:/server-keystore.jks

生成服务器端证书(alias与上面生成时指定的要相同)

keytool -export -alias serverks -keystore D:/server-keystore.jks -storepass serverpwd -file D:/server-cert.cer

生成客户端证书仓库

keytool -genkey -alias clientks -keysize 2048 -validity 365 -keyalg RSA -dname "CN=localhost" -keypass clientpwd -storepass clientpwd -keystore D:/client-keystore.jks

生成客户端证书(alias与上面生成时指定的要相同)

keytool -export -alias clientks -keystore D:/client-keystore.jks -storepass clientpwd -file D:/client-cert.cer

上面四个命令就可以生成客户端和服务器端的证书和仓库了。

对于单项认证,客户端验证服务器端,服务器端不做验证情况,只需要将服务器端证书导入到客户端证书仓库。

对于双向认证,除了上面的导入操作外,还需要将客户端证书导入到服务器端证书仓库。

命令如下:

服务器端证书导入客户端证书仓库

keytool -import -trustcacerts -alias servercert2clientks -file D:/server-cert.cer -storepass clientpwd -keystore D:/client-keystore.jks

客户端证书导入到服务器端证书仓库

keytool -import -trustcacerts -alias clientcert2serverks -file D:/client-cert.cer -storepass serverks -keystore D:/server-keystore.jks

上述命令解释:

keytool    //java jdk自带工具

-genkey  //生成key的命令参数

-alias //生成key别名

-keysize // key大小,2048

-validity //有效期,单位天

-keyalg //key的算法,本文采用RSA

-dname //key的信息串,CN=这里是域名,此外还有OU / O / L / S / C=CH 代表拥有者/归属/地区/城市/国家

-keypass // 生成key的密码,

-storepass //存储的密码

-keystore //生成key输出的路径和文件名

-export //导出证书

-import //导入证书

-file //导出的文件

 

下面是Java中SSLContext的生成过程:

单向SSL认证服务端代码(客户端对服务端证书进行验证,服务器端接受所有证书)

 

		//获取X509算法的key管理工厂类
		KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
		//获取keystore类型实例,jks类型
		KeyStore ks = KeyStore.getInstance("JKS");
		//读取服务器端的证书库
		InputStream in = ClassLoader.getSystemResourceAsStream("server-keystore.jks");
		//加载到keystore,第二个参数密码
		ks.load(in, "serverpwd".toCharArray());
		in.close();
		//初始化keymanager通过keystore和密码
		kmf.init(ks, "serverpwd".toCharArray());
		//获取sslcontext,SSL/TLSv1.x
		SSLContext serverContext = SSLContext.getInstance("TLSv1.2");
		//单项认证,客户端认证服务器,trustmanager为空,就是服务器端信任所有客户端证书
		serverContext.init(kmf.getKeyManagers(), null, null);

双向认证相比上面,只是让sslcontext的第二个信任证书参数传递不为空即可,代表服务器端新人的证书对象。

 

 

		//获取X509算法的key管理工厂类
		KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
		//获取keystore类型实例,jks类型
		KeyStore ks = KeyStore.getInstance("JKS");
		//读取服务器端的证书库
		InputStream in = ClassLoader.getSystemResourceAsStream("server-keystore.jks");
		//加载到keystore,第二个参数密码
		ks.load(in, "serverpwd".toCharArray());
		in.close();
		//初始化keymanager通过keystore和密码
		kmf.init(ks, "serverpwd".toCharArray());
		//获取sslcontext,SSL/TLSv1.x
		SSLContext serverContext = SSLContext.getInstance("TLSv1.2");
		//获取x509信任证书工厂,并根据keystore初始化, 服务器端验证客户端证书是否有效
		TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
		tmf.init(ks);
		
		//双向认证,此处多trustManagers参数
		serverContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);

对于TrustManager可以自己实现,但是一般很少自己实现,实现方式如下:

 

 

		//获取X509算法的key管理工厂类
		KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
		//获取keystore类型实例,jks类型
		KeyStore ks = KeyStore.getInstance("JKS");
		//读取服务器端的证书库
		InputStream in = ClassLoader.getSystemResourceAsStream("server-keystore.jks");
		//加载到keystore,第二个参数密码
		ks.load(in, "serverpwd".toCharArray());
		in.close();
		//初始化keymanager通过keystore和密码
		kmf.init(ks, "serverpwd".toCharArray());
		//获取sslcontext,SSL/TLSv1.x
		SSLContext serverContext = SSLContext.getInstance("TLSv1.2");
		//自定义实现证书验证
		X509TrustManager x509 = new X509TrustManager() {
			
			public X509Certificate[] getAcceptedIssuers() {
				return null;
			}
			
			/**
			 * 服务器端检查
			 */
			public void checkServerTrusted(X509Certificate[] chain, String authType)
					throws java.security.cert.CertificateException {
				if (chain == null || chain.length == 0) {
					throw new IllegalArgumentException("X509Certificate chain cannot be null");
				}
				if (authType == null || authType.equals("")) {
					throw new IllegalArgumentException("X509Certificate authType cannot be null");
				}
				boolean isSucc = false;
				Principal p = null;
				for (X509Certificate x : chain) {
					p = x.getSubjectDN();
					//Principal getName 为keytool 中的-dname参数对应的值
					if (p != null && p.getName().contains("localhost")) {//这里只验证了-dName那个参数是否能识别
						isSucc = true;
						return ;
					}
				}
				if (!isSucc) {
						throw new  java.security.cert.CertificateException("no authorizication");
				}
			}
			
			/**
			 * 客户端检查
			 */
			public void checkClientTrusted(X509Certificate[] chain, String authType)
					throws java.security.cert.CertificateException {
				if (chain == null || chain.length == 0) {
					throw new IllegalArgumentException("X509Certificate chain cannot be null");
				}
				if (authType == null || authType.equals("")) {
					throw new IllegalArgumentException("X509Certificate authType cannot be null");
				}
				boolean isSucc = false;
				Principal p = null;
				for (X509Certificate x : chain) {
					p = x.getSubjectDN();
					if (p != null && p.getName().contains("localhost")) {
						isSucc = true;
						return ;
					}
				}
				if (!isSucc) {
						throw new  java.security.cert.CertificateException("no authorizication");
				}
			}
		};
		
		//双向认证,自定义x509验证实现
		serverContext.init(kmf.getKeyManagers(), new TrustManager[]{x509}, null);
 

 

 

 

 

 

mcatto
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSL/TLS 双向认证(一) -- SSL/TLS工作原理
乐呵乐呵
11-02 6879
本文介绍了 SSL/TLS 相关原理以及相关实践
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
热门推荐
ustccw
08-04 11万+
本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm http://blog.csdn.net/hherima/article/details/52469674 一: SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套...
Java SSLTLS客户端证书配置
茅坤宝骏氹的博客
10-17 5629
一、证书存储格式 1、pem格式:pem、crt、key。编码方式base64、pkcs1、pkcs8 2、p12 3、jks(依赖jdk版本,小版本差异会报错) 二、TLS安全概念 (1)PKI PKI是 Public Key Infrastructure的简称,意思是公钥基础设施。 公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。通过证书和秘钥来确认通讯双方是否可信任。 (2)CA CA是Certificate Authority的简称,即证书的签发机构
SSLContext.getInstance()中参数设置TLS版本无效的问题
zqj1172102457的博客
05-19 2万+
问题:SSLContext sc = SSLContext.getInstance(“TLSv1.1”)设置后,https握手连接使用中使用的TLS版本还是jdk的默认版本(jdk7默认是TLSv1,jdk8默认是TLSv1.2)。 原因:代码中有这个段conn.getOutputStream().write(postBody.toString().getBytes());// 输入参数 进行输入参数,而SSLContext sc = SSLContext.getInstance(“TLSv1.1”)放在c
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1717
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
一篇文章让您了解HTTPS
qq_34874784的博客
11-04 1770
前段时间在做HTTPS相关的需求碰到了一些问题,今天有空整理一下HTTPS的相关知识,希望对您能有所帮助。 HTTPS 什么是HTTPS HTTPS,即HTTP Security,是建立在SSL / TSL协议之上,其中,TSL是SSL协议的升级版,TLS 1.0通常被标示为SSL 3.1,TLS 1.1为SSL 3.2,TLS 1.2为SSL 3.3,可以理解为同一套协议。他的作用主要以下三点: 防止窃听。 所有信息都是加密传播,第三方无法窃听。 防止篡改。具有校验机制,一.
https站点强制通信协议TLSv1.2
Fred Lee的程序人生
07-03 7万+
TLSv1.2协议支持具体要分三部分内容。 <一>服务器对TLSv1.2的支持。 <二>客户端设置对TLSv1.2的支持 <三>客户端默认通过TLSv1.2访问设置。 本文对上述三方面内容进行了解读。
SSL和HTTPS
jimmee的专栏
05-25 164
SSL说明:   1)简介   SSL (Secure Socket Layer)为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。   2)S...
Httpclient3.1指定tlsv1.2协议访问https
不会飞的小龙人的博客
03-11 1万+
前言 最近因公司某个服务器应用升级以及互联网安全要求,近期将禁用对TLSv1.0、TLSv1.1的访问支持,要求所有访问该服务的客户端项目升级到TLSv1.2,否则到期TLSv1.2生效后,将影响客户端的正常访问,于是安排工作着手对部份老项目进行升级改造。 TLS协议说明 百度百科的描述 安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。 该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。 传输层安全性协
netty实现SSL/TSL双向加密认证示例
09-21
通过对这些代码的分析和学习,可以更好地理解 Netty 中的 SSL/TLS 双向认证工作原理。 总结,Netty 提供了强大而灵活的工具来实现 SSL/TLS 安全通信,包括双向认证。通过正确配置 `SslContext`、处理通道处理器和...
Openssl实现双向认证教程(附服务端客户端代码
09-14
本教程将深入探讨如何使用OpenSSL实现双向认证,并提供服务端和客户端的示例代码。 1. **OpenSSL 双向认证基础** 双向认证要求客户端和服务器都需要提供有效的证书来证明其身份。服务器通常需要一个由受信任的证书...
SSL双向认证.rar
04-05
7. **易语言实现**:在压缩包中的“易语言SSL双向认证源码”,可能包含了使用易语言编写实现SSL双向认证代码示例。易语言是中国的一种简易学的编程语言,用于实现这一功能可能涉及到对网络库的调用,处理SSL/TLS...
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器上配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...
vc winhttp用https双向认证代码
06-16
WinHTTP是Windows提供的一个高级HTTP/1.1协议库,它支持各种安全特性,包括SSL/TLS双向认证。 首先,我们需要理解双向认证的基本流程。在mTLS中,客户端需要拥有一个证书和对应的私钥,用来证明其身份。服务器...
Https
Twofish
03-24 1268
常见状态代码、状态描述、说明: 200 OK //客户端请求成功 400 Bad Request //客户端请求有语法错误,不能被服务器所理解 401 Unauthorized //请求未经授权,这个状态代码必须和WWW-Authenticate报头域一起使用  403 Forbidden //服务器收到请求,但是拒绝提供服务 404 Not Found //请求资源不存在,eg:输入了
https通信实现方式
Eplusing
07-31 1487
1. 不使用证书 1.1 客户端 1.1.1 该方式不校验证书和域名,与普通的访问http无明显差别 public void testPlainHttps() { URL reqURL; try { reqURL = new URL("https://www.oracle.com/sun/index.html"); // 创建URL对象 HttpsURLConne...
Netty实现SSL双向验证完整实例
moonpure的专栏
09-27 1万+
一、证书准备      要使用ssl双向验证,就必须先要生成服务端和客户端的证书,并相互添加信任,具体流程如下(本人调试这个用例的时候,花了很多时间来验证证书是否正确,以及握手失败的原因,这里证书生成过程只要按流程走,本人能保证绝对没有问题) 现在打开cmd,在哪个目录下打开,证书就会放在哪个目录下: 第一步:   生成Netty服务端私钥和证书仓库命令  keytool -genkey ...
Java安全通信:HTTPS与SSL
Kevin的逆袭博客
07-19 2080
每个Java程序员都必须知道的Java安全通信:HTTPS与SSL详解。
java 建立tlsv1.2报错_java - 无法识别SSL聊天错误客户端证书和TLSv1.2 - 堆栈内存溢出...
weixin_28952471的博客
02-24 2762
我在Ubuntu中使用Eclipse的Java中的SSL Chat应用程序遇到问题。 我有这样的代码:import java.net.*;import java.io.*;import javax.net.ssl.*;import java.security.KeyManagementException;import java.security.NoSuchAlgorithmException;...
mbedtls 双向认证 代码
08-26
mbedtls是一个开源的加密库,提供了双向认证的功能。以下是mbedtls进行双向认证的一般代码示例: 1. 初始化mbedtls库并配置客户端和服务器端的身份验证参数。 ``` mbedtls_ssl_config client_config; mbedtls_ssl_config server_config; mbedtls_ssl_config_init(&client_config); mbedtls_ssl_config_init(&server_config); // 配置客户端和服务器端的身份验证参数 mbedtls_ssl_conf_authmode(&client_config, MBEDTLS_SSL_VERIFY_REQUIRED); mbedtls_ssl_conf_authmode(&server_config, MBEDTLS_SSL_VERIFY_REQUIRED); // 配置CA证书和私钥 mbedtls_ssl_conf_ca_chain(&client_config, ca_cert, NULL); mbedtls_ssl_conf_ca_chain(&server_config, ca_cert, NULL); mbedtls_ssl_conf_own_cert(&client_config, client_cert, client_key); mbedtls_ssl_conf_own_cert(&server_config, server_cert, server_key); ``` 2. 创建一个mbedtlsTLS上下文。 ``` mbedtls_ssl_context ssl_ctx; mbedtls_ssl_init(&ssl_ctx); ``` 3. 设置TLS上下文的配置。 ``` mbedtls_ssl_setup(&ssl_ctx, &client_config); mbedtls_ssl_setup(&ssl_ctx, &server_config); ``` 4. 在客户端和服务器端分别进行握手。 ``` // 客户端握手 mbedtls_ssl_set_hostname(&ssl_ctx, server_hostname); mbedtls_ssl_set_bio(&ssl_ctx, sockfd, mbedtls_net_send, mbedtls_net_recv, mbedtls_net_recv_timeout); mbedtls_ssl_handshake_client(&ssl_ctx); // 服务器端握手 mbedtls_ssl_set_bio(&ssl_ctx, &client_fd, mbedtls_net_send, mbedtls_net_recv, NULL); mbedtls_ssl_handshake_server(&ssl_ctx); ``` 5. 进行双向验证。 ``` // 客户端验证服务器端证书 if (mbedtls_ssl_get_verify_result(&ssl_ctx) != 0) { // 验证失败 } // 服务器端验证客户端证书 if (mbedtls_ssl_get_verify_result(&ssl_ctx) != 0) { // 验证失败 } ``` 以上代码示例演示了mbedtls进行双向认证的基本步骤。在实际应用中,还需根据具体需求进行适当的配置和处理。<span class="em">1</span><span class="em">2</span> #### 引用[.reference_title] - *1* *2* [Mbedtls随笔](https://blog.csdn.net/qq_44455716/article/details/102790232)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值