SSL连接的JAVA实现

最新推荐文章于 2024-05-25 21:07:00 发布
最新推荐文章于 2024-05-25 21:07:00 发布
阅读量2.5k 收藏 12
点赞数 1
分类专栏: JAVA编程 安全 文章标签: ssl 服务器 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gzroy/article/details/124950489
版权

SSL连接分为双向认证和单向认证。其中双向认证表示服务器和客户端都需要分别校验对方的身份。单向认证则只需要客户端校验服务器的身份。

SSL的双向认证的流程如下图:

从以上流程可见,要完成双向认证,服务器端和客户端都需要验证对方的证书,然后再进行加密的协商。这里基于JAVA来实现一个服务器端和客户端的程序,可以实现双向认证。

首先需要准备服务器和客户端的相关证书:

1. 创建自签名的根密钥

openssl genrsa -out rootkey.pem 2048

2. 生成根证书

openssl req -x509 -new -key rootkey.pem -out root.crt -subj="/C=CN/ST=GD/L=GZ/O=RootCA/OU=RootCA/CN=RootCA"

3. 生成客户端密钥

openssl genrsa -out clientkey.pem 2048

4. 生成客户端证书请求文件,使用根证书进行签发

openssl req -new -key clientkey.pem -out client.csr -subj="/C=CN/ST=GD/L=GZ/O=BMW/OU=Vehicle/CN=Vehicle1"

5. 用根证书来签发客户端请求文件,生成客户端证书client.crt

openssl x509 -req -in client.csr -CA root.crt -CAkey rootkey.pem -CAcreateserial -days 3650 -out client.crt

6. 打包客户端资料为pkcs12格式(client.pkcs12)

openssl pkcs12 -export -in client.crt -inkey clientkey.pem -out client.pkcs12

7. 生成服务器端的密匙

openssl genrsa -out serverkey.pem 2048

8. 生成服务器端证书的请求文件。请求根证书来签发

openssl req -new -key serverkey.pem -out server.csr -subj="/C=CN/ST=GD/L=GZ/O=BMW/OU=IT/CN=Broker"

9. 用根证书来签发服务器端请求文件,生成服务器端证书server.crt

openssl x509 -req -in server.csr -CA root.crt -CAkey rootkey.pem -CAcreateserial -days 3650 -out server.crt

10. 打包服务器端资料为pkcs12格式(server.pkcs12 )

openssl pkcs12 -export -in server.crt -inkey serverkey.pem -out server.pkcs12

11. 生成信任客户端的keystore,把根证书以及需要信任的客户端的证书添加到这个keystore

keytool -importcert -alias ca -file root.crt -keystore clienttrust.jks

keytool -importcert -alias clientcert -file client.crt -keystore clienttrust.jks

12. 生成信任服务器端的keystore,把根证书以及需要信任的服务端的证书添加到这个keystore

keytool -importcert -alias ca -file root.crt -keystore servertrust.jks

keytool -importcert -alias servercert -file server.crt -keystore servertrust.jks

服务器程序

以下是服务器的程序

public class SSLServer 
{
    private SSLServerSocket sslServerSocket;
    public static void main( String[] args ) throws Exception
    {
        SSLServer server = new SSLserver();
        server.init();
        System.out.println( "Server initialted!" );
        server.process();
    }

    public void init() throws Exception {
        int port = 9999;
        String keystorePath = "/home/roy/projects/cert/server.pkcs12";
        String keystorePass = "123456";
        SSLContext context = SSLContext.getInstance("TLSv1.2");

        //加载服务器的证书和Private key
        KeyStore serverKeyStore = KeyStore.getInstance("pkcs12");
        FileInputStream keystoreFis = new FileInputStream(keystorePath);
        serverKeyStore.load(keystoreFis, keystorePass.toCharArray());
        KeyManagerFactory kmf = KeyManagerFactory.getInstance("sunx509");
        kmf.init(serverKeyStore, keystorePass.toCharArray());

        //加载要信任的客户端证书的keystore
        String trustClientKeystorePath = "/home/roy/projects/cert/clienttrust.jks";
        KeyStore trustKeyStore = KeyStore.getInstance("jks");
        FileInputStream trustKeystoreFis = new FileInputStream(trustClientKeystorePath);
        trustKeyStore.load(trustKeystoreFis, keystorePass.toCharArray());
        TrustManagerFactory tmf = TrustManagerFactory.getInstance("sunx509");
        tmf.init(trustKeyStore);

        context.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
        sslServerSocket = (SSLServerSocket)context.getServerSocketFactory().createServerSocket(port);
        sslServerSocket.setNeedClientAuth(true);
    }

    public void process() throws Exception {
        String bye = "Bye!";
        byte[] buffer = new byte[50];
        while(true) {
            Socket socket = sslServerSocket.accept();
            InputStream in = socket.getInputStream();
            in.read(buffer);
            System.out.println("Received: " + new String(buffer));
            OutputStream out = socket.getOutputStream();
            out.write(bye.getBytes());
            out.flush();
        }
    }
}

客户端程序

如以下代码:

public class SSLClient
{
    private SSLSocket sslSocket;
    public static void main( String[] args ) throws Exception
    {
        SSLClient client = new SSLClient();
        client.init();
        System.out.println( "Client initiated." );
        client.process();
    }

    public void init() throws Exception {
        String host = "127.0.0.1";
        int port = 9999;
        String keystorePath = "/home/roy/projects/cert/client.pkcs12";
        String keystorePass = "123456";

        SSLContext context = SSLContext.getInstance("TLSv1.2");

        //加载客户端的证书和private key
        KeyStore clientKeyStore = KeyStore.getInstance("pkcs12");
        FileInputStream keystoreFis = new FileInputStream(keystorePath);
        clientKeyStore.load(keystoreFis, keystorePass.toCharArray());

        KeyManagerFactory kmf = KeyManagerFactory.getInstance("sunx509");
        kmf.init(clientKeyStore, keystorePass.toCharArray());

        //加载信任的服务器证书的keystore
        String trustServerKeystorePath = "/home/roy/projects/cert/servertrust.jks";
        KeyStore trustKeyStore = KeyStore.getInstance("jks");
        FileInputStream trustKeystoreFis = new FileInputStream(trustServerKeystorePath);
        trustKeyStore.load(trustKeystoreFis, keystorePass.toCharArray());
        TrustManagerFactory tmf = TrustManagerFactory.getInstance("sunx509");
        tmf.init(trustKeyStore);

        context.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
        sslSocket = (SSLSocket)context.getSocketFactory().createSocket(host, port);
    }

    public void process() throws Exception {
        String hello = "Hello World";
        OutputStream out = sslSocket.getOutputStream();
        out.write(hello.getBytes(), 0, hello.getBytes().length);
        out.flush();
        Thread.sleep(1000);
        InputStream in = sslSocket.getInputStream();
        byte [] buffer = new byte[50];
        in.read(buffer);
        System.out.println(new String(buffer));
    }
}

之后分别运行服务器和客户端程序,可以见到SSL的双向认证通过,建立连接并成功收发信息。

如果要实现单向认证,那么客户端的代码不需要改动,服务器端的代码改动如下:

public class SSLServer 
{
    private SSLServerSocket sslServerSocket;
    public static void main( String[] args ) throws Exception
    {
        SSLServer server = new SSLserver();
        server.init();
        System.out.println( "Server initialted!" );
        server.process();
    }

    public void init() throws Exception {
        int port = 9999;
        String keystorePath = "/home/roy/projects/cert/server.pkcs12";
        String keystorePass = "123456";
        SSLContext context = SSLContext.getInstance("TLSv1.2");

        //加载服务器的证书和Private key
        KeyStore serverKeyStore = KeyStore.getInstance("pkcs12");
        FileInputStream keystoreFis = new FileInputStream(keystorePath);
        serverKeyStore.load(keystoreFis, keystorePass.toCharArray());
        KeyManagerFactory kmf = KeyManagerFactory.getInstance("sunx509");
        kmf.init(serverKeyStore, keystorePass.toCharArray());

        context.init(kmf.getKeyManagers(), null, null);
        sslServerSocket = (SSLServerSocket)context.getServerSocketFactory().createServerSocket(port);
        sslServerSocket.setNeedClientAuth(false);
    }

    public void process() throws Exception {
        String bye = "Bye!";
        byte[] buffer = new byte[50];
        while(true) {
            Socket socket = sslServerSocket.accept();
            InputStream in = socket.getInputStream();
            in.read(buffer);
            System.out.println("Received: " + new String(buffer));
            OutputStream out = socket.getOutputStream();
            out.write(bye.getBytes());
            out.flush();
        }
    }
}

gzroy
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JAVA 实现SSL 连接
08-12
NULL 博文链接:https://shuaizhuaidym.iteye.com/blog/2284877
Java实现SSL双向认证的方法
09-01
实现Java SSL双向认证通常涉及以下几个步骤: 1. **生成密钥库(KeyStore)**: - 服务器端需要一个KeyStore,存储其私钥,通常使用`keytool`命令生成,例如:`keytool -genkey -alias serverkey -keystore ...
Java调用HTTPS接口,绕过SSL认证
Recently祝祝的博客
11-01 9251
Java调用HTTPS,需要与客户端建立连接,但是建立连接的时候,需要进行SSL认证。因为我本次调用HTTPS接口的目的是调用数据,存储在表中,不需要跨环境,只在本地执行,所以进行SSL认证稍有繁琐,所以我决定绕过SSL认证。需要注意的是,代码中的URL、授权头信息、JSON参数等是示例数据,你需要根据实际情况进行修改和替换。是一个空实现的主机名验证器,它绕过了主机名验证,即使主机名不匹配,也会继续进行SSL连接。我的出参是这样的,所以按照自己的格式替换数据,便可以得到你想要的出参。
Java安全——SSL和HTTPS
多头注意力探索Now
07-12 2236
java 安全的https和ssl
java配置ssl证书实现https请求,一级域名和二级域名配置https,小程序https后台的配置
最新发布
2401_85112498的博客
05-25 313
2,有一台自己的服务器(阿里云腾讯云都可以)一,申请ssl证书这里以腾讯云为例,我们首先要登录自己的腾讯云服务器,然后进入ssl证书申请页。然后选择免费的ssl证书,申请即可给证书绑定域名,一个证书只能绑定一个顶级域名或者二级域名。证书申请成功二,下载ssl证书点击下载证书后,会得到一个压缩包,解压后可以看到每种服务器对应的证书,选择自己的即可。我们看下tomcat对应的文件都有什么。
SSLClient 工具
weixin_33994444的博客
10-08 5942
import org.apache.http.conn.ClientConnectionManager; import org.apache.http.conn.scheme.Scheme; import org.apache.http.conn.scheme.SchemeRegistry; import org.apache.http.conn.s...
java ssl client_JAVASSL证书认证通讯-Client
weixin_33529455的博客
02-19 460
/*********************************************************************项目名称:rochoc*包名称:rochoc.net.security*文件名称:SSLClient*编写者:LuckyStar*编写日期:2008-2-13*程序功能(...
Java生成SSL证书
孤山之王
08-27 5204
JAVA生成SSL证书,可以在HTTPS中使用
Java实现通过证书访问Https请求
热门推荐
王绍桦
01-29 3万+
创建证书管理器类 import java.io.FileInputStream; import java.security.KeyStore; import java.security.cert.CertificateException; import java.security.cert.X509Certificate; import javax.net.ssl.TrustManager;...
Nginx配置ssl_client_certificate客户端认证问题
qq_34823218的博客
11-17 8489
问题1:ssl_client_certificate配置的CA证书格式错误 参考Minitutorialforconfiguringclient-sideSSLcertificates和ClientSideCertificateAuthinNginx配置客户端的证书认证,配置好后,在浏览器使用证书认证报400错误 400BadRequest NorequiredSSLcertificatewassent 按照教程,生成相关证书都没有问题,在配置nginx的...
java ssl连接 SSLServerSocket
11-09
Java中的SSL连接主要涉及到安全套接层(Secure Socket Layer)技术,用于在互联网上提供安全通信。SSLServerSocket是Java中的一个类,它用于创建服务器端的SSL连接,提供了加密和身份验证的能力,确保数据传输的安全...
SSLClient.java
07-27
自己封装的SSLClient,用https访问外部API接口
一个很好的SSL连接的例子
03-06
使用java标准的函数进行jsse的ssl连接开发,并获得返回值
ssl java实现
06-26
为了帮助调试或监控SSL连接,可以开启JSSE的日志或使用SocketFactory的getSupportedProtocols()和getEnabledProtocols()等方法检查协议支持情况。 总的来说,Java通过JSSE为开发者提供了丰富的接口和类来实现SSL/...
java client访问https server(客户端代码、服务器端配置)
bevins的博客
01-31 1047
openssl配置证书时直接配置crt、key即可 而jsse通过keystore来存储证书、证书链信息,java客户端通过jsse来使用ssl 具体openssl和keytool各种证书类型之间的转换可以参考“收藏”中一些文章 cfca颁发的pfx个人证书需要转换成keystore格式才能使用 从cfca获得如下测试证书: 个人证书:cfca_client.pfx 服务器证书:c...
Java 解决远程调用 ssl 证书认证问题
不负年华
12-23 647
假如你的项目是 spring boot ,远程调用是 feign 组件的话,可以通过修改配置文件来跳过 ssl 证书校验。假如你的项目是 spring boot ,可以加入 跳过证书的 java 文件,其实就是创建一个 bean 对象。Java Compiler 及 Project Structure 下 jdk 的版本是否正确和你目录对应上。注意:需要把该文件放在 springboot 能扫描到的地方。打开 cmd , 按照自己的文件所在的目录进行导入命令执行。在 jdk 目录导入证书。
JAVA客户端导入证书来访问HTTPS的方法
滕青山博客
02-07 7021
1、java 把证书都放在了 D:\jdks\1.8\jre\lib\security 这个路径下的cacerts 文件里面。我们进入jdk/bin这个路径,使用keytool工具。2、输入以下命令 keytool -import -aliias [证书名字] -keystore [cacerts路径] -file [证书地址] 即可。如果是自己的网站可以从服务商那里下载,如果是别人的网站那么需要从浏览器导出。或者到方法二那里通过代码生成证书。3、。
java实现SSL
u010634054的博客
03-24 164
SSL分为单向认证和双向认证。单向认证是客户端信任服务端,双向认证是客户端既要信任服务端而且服务端也要信任客户端。   不管是客户端还是服务端,都要存以下两样keystore KeyStore:保存自己的公钥和私钥。 Trust KeyStore:保存对方的公钥证书。   如果是单向认证,服务器端的KeyStore存储自己的公钥和私钥,客户端的Trust KeyStore要导入服务...
Qt&Java笔记-Qt与Java进行SSL双向认证(Qt客户端,Java服务端)
IT1995的博客
07-06 944
这里使用Java作为服务端,使用Qt作为客户端。 程序运行截图如下: 这里的证书Qt使用的p12,Java使用的jks,看以前的博文生成。 源码打包下载地址: https://github.com/fengfanchen/Java/tree/master/Ssl_QtClient_JavaServer Qt客户端源码: 源码如下: QSSLClient.h #ifndef QSSLCLIENT_H #define QSSLCLIENT_H #include <QOb
java ESClientSpringFactory 连接ES 开启 SSL
06-07
ESClientSpringFactory 是一个基于 Spring 框架的 Elasticsearch 客户端工厂类,可以很方便地使用 Spring 来管理 Elasticsearch 客户端的连接。在开启 SSL 的情况下,我们需要在配置文件中添加相关的 SSL 配置。下面是一个简单的使用 ESClientSpringFactory 连接开启了 SSL 的 Elasticsearch 集群的示例。 1. 首先,我们需要在配置文件中添加 elasticsearch.client 节点,并设置相应的 SSL 参数: ```yaml elasticsearch: client: nodes: - host: localhost port: 9200 scheme: https ssl: enabled: true key-store: classpath:client.jks key-store-password: my_keystore_password trust-store: classpath:client-truststore.jks trust-store-password: my_truststore_password verify-hostname: false ``` 上面的配置文件中,我们开启了 SSL 连接,并指定了客户端使用的 key store 和 trust store 的位置和密码。其中,verify-hostname 参数设置为 false,表示不验证服务器的主机名,这在开发和测试阶段是比较方便的,但在生产环境中应该设置为 true。 2. 然后,我们需要定义一个 ESClientSpringFactory 的 Bean,并注入配置文件中的 elasticsearch.client 节点: ```java import org.elasticsearch.client.RestHighLevelClient; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.boot.autoconfigure.elasticsearch.ElasticsearchProperties; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.data.elasticsearch.client.ClientConfiguration; import org.springframework.data.elasticsearch.client.RestClients; import org.springframework.data.elasticsearch.config.AbstractElasticsearchConfiguration; @Configuration public class ElasticsearchConfig extends AbstractElasticsearchConfiguration { @Autowired private ElasticsearchProperties elasticsearchProperties; @Bean @Override public RestHighLevelClient elasticsearchClient() { ClientConfiguration clientConfiguration = ClientConfiguration.builder() .connectedTo(elasticsearchProperties.getClient().getNodes().get(0).getHost() + ":" + elasticsearchProperties.getClient().getNodes().get(0).getPort()) .withBasicAuth(elasticsearchProperties.getClient().getUsername(), elasticsearchProperties.getClient().getPassword()) .usingSsl() .withKeyStore(elasticsearchProperties.getClient().getSsl().getKeyStore(), elasticsearchProperties.getClient().getSsl().getKeyStorePassword()) .withTrustStore(elasticsearchProperties.getClient().getSsl().getTrustStore(), elasticsearchProperties.getClient().getSsl().getTrustStorePassword()) .verifyHostnames(elasticsearchProperties.getClient().getSsl().isVerifyHostname()) .build(); return RestClients.create(clientConfiguration).rest(); } } ``` 上面的示例代码中,我们定义了一个名为 elasticsearchClient 的 Bean,并注入了配置文件中的 elasticsearch.client 节点。在 Bean 的实现中,我们使用 ClientConfiguration.builder() 方法来构建一个 Elasticsearch 客户端的配置对象,其中设置了连接地址、认证信息、SSL 相关参数等。最后,我们使用 RestClients.create() 方法来创建一个 RestHighLevelClient 对象,并返回给 Spring 容器来管理。 完成上述步骤后,我们就可以在其他需要使用 Elasticsearch 客户端的地方直接注入 RestHighLevelClient 对象,来操作 Elasticsearch 集群了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gzroy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值