实现https双向认证,并去除commonName的校验

最新推荐文章于 2024-07-20 16:07:33 发布
最新推荐文章于 2024-07-20 16:07:33 发布
阅读量4k 收藏 3
点赞数 2
分类专栏: linux 文章标签: 去除commonName的校验 https 双向认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hewenya12/article/details/50161877
版权

最近在做一个https双向认证的工作,领导先让我实现,我之前写了一篇文章,把tomcat的生成证书和配置的实现写了出来。


现在领导给了我服务器的CA证书的客户端证书和私钥,服务端信任证书,分别是crt和pem格式的文件,


试了很多方法,才把这个搞通,由于不同的平台,证书格式和版本差异很大,包括文本证书和二进制证书文件。


通过openSSL 很容易把证书转换出来,现有Linux主机,安装了openssl,


证书文件:client.crt ,server.crt ,client.pem


openssl pkcs12 -export -in client.crt -out client.pfx  -inkey client.pem -passin pass:123456


生成的pfx格式的证书,可以安装在windows系统中,可以通过浏览器访问,

程序中由于双向认证,需要信任服务端证书,

把server.crt转换为keystore格式

keytool -importkeystore -v  -srckeystore client.pfx -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore client.keystore -deststoretype jks -deststorepass 123456 

keytool -import -alias ca -trustcacerts -file server.crt -keystore client.keystore

把keystore设成客户端信任证书即可实现双向认证。


import java.io.BufferedReader;
import java.io.FileInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.security.KeyStore;
import java.util.ArrayList;
import java.util.List;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLException;
import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;

import javax.net.ssl.SSLSession;
import javax.net.ssl.SSLSocket;
import java.security.cert.X509Certificate;

import junit.framework.TestCase;

import org.apache.http.HttpResponse;
import org.apache.http.NameValuePair;
import org.apache.http.client.HttpClient;
import org.apache.http.client.entity.UrlEncodedFormEntity;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.conn.scheme.Scheme;
import org.apache.http.conn.ssl.SSLSocketFactory;
import org.apache.http.conn.ssl.X509HostnameVerifier;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.http.protocol.HTTP;
import org.junit.Before;
import org.junit.Test;
@SuppressWarnings("deprecation")
public class HttpsClient extends TestCase {
	private String httpUrl = "https://127.0.0.1:443/TESTl/startupServlet";
	// 客户端密钥库
	private String sslKeyStorePath;
	private String sslKeyStorePassword;
	private String sslKeyStoreType;
	// 客户端信任的证书
	private String sslTrustStore;
	private String sslTrustStorePassword;

	@Before
	public void setUp() {
		sslKeyStorePath = "client.pfx";
		sslKeyStorePassword = "123456";
		sslKeyStoreType = "PKCS12"; // 密钥库类型,有JKS PKCS12等
		sslTrustStore = "client.keystore";
		sslTrustStorePassword = "123456";
		System.setProperty("javax.net.ssl.keyStore", sslKeyStorePath);
		System.setProperty("javax.net.ssl.keyStorePassword",
				sslKeyStorePassword);
		System.setProperty("javax.net.ssl.keyStoreType", sslKeyStoreType);
		// 设置系统参数
		System.setProperty("javax.net.ssl.trustStore", sslTrustStore);
		System.setProperty("javax.net.ssl.trustStorePassword",
				sslTrustStorePassword);
	}

	@Test
	public void testHttpsClient() {
		SSLContext sslContext = null;
		try {
			KeyStore kstore = KeyStore.getInstance("PKCS12");
			kstore.load(new FileInputStream(sslKeyStorePath),
					sslKeyStorePassword.toCharArray());
			KeyManagerFactory keyFactory = KeyManagerFactory
					.getInstance("sunx509");
			keyFactory.init(kstore, sslKeyStorePassword.toCharArray());
			KeyStore tstore = KeyStore.getInstance("jks");
			tstore.load(new FileInputStream(sslTrustStore),
					sslTrustStorePassword.toCharArray());
			TrustManager[] tm;
			TrustManagerFactory tmf = TrustManagerFactory
					.getInstance("sunx509");
			tmf.init(tstore);
			tm = tmf.getTrustManagers();
			sslContext = SSLContext.getInstance("SSL");
			sslContext.init(keyFactory.getKeyManagers(), tm, null);
			
		} catch (Exception e) {
			e.printStackTrace();
		}
		try {
			X509HostnameVerifier hostnameVerifier = new X509HostnameVerifier() {
	            public boolean verify(String arg0, SSLSession arg1) {
	                return true;
	            }
	            @Override
	            public void verify(String arg0, SSLSocket arg1) throws IOException {}
	            @Override
	            public void verify(String arg0, String[] arg1, String[] arg2) throws SSLException {}
	            @Override
	            public void verify(String arg0, X509Certificate arg1) throws SSLException {}
	        };
			HttpClient httpClient = new DefaultHttpClient();
			SSLSocketFactory socketFactory = new SSLSocketFactory(sslContext);
			socketFactory.setHostnameVerifier(hostnameVerifier);
			Scheme sch = new Scheme("https", 443, socketFactory);
			httpClient.getConnectionManager().getSchemeRegistry().register(sch);
			HttpPost httpPost = new HttpPost(httpUrl);
			List<NameValuePair> nvps = new ArrayList<NameValuePair>();
//			nvps.add(new BasicNameValuePair("pageSize", "1"));
//			nvps.add(new BasicNameValuePair("name", null));
			httpPost.setEntity(new UrlEncodedFormEntity(nvps, HTTP.UTF_8));
			HttpResponse httpResponse = httpClient.execute(httpPost);
			String spt = System.getProperty("line.separator");
			BufferedReader buffer = new BufferedReader(new InputStreamReader(
					httpResponse.getEntity().getContent()));
			StringBuffer stb = new StringBuffer();
			String line = null;
			while ((line = buffer.readLine()) != null) {
				stb.append(line);
			}
			buffer.close();
			String result = stb.toString();
			System.out.println("result=" + result);
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
}

中间的重写方法是由于证书中的主机名IP与实际访问的不符合,这里是去除commonName的校验。

声明:本文为原创,转载请注明出处。

跟着太阳奔跑
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用pythn脚本获取服务器ssl证书的Common Name
tzdjzs的专栏
06-02 6504
主要是通过python脚本来获取指定服务器证书的Common Name
iOS https 自制证书 单向 双向 验证,以及服务器(Nginx)配置
doubleface999的博客
03-10 2135
一、http和https的区别与原理 介绍原理的博文太多了,这里列出一篇详细的: IOS 使用自签名证书开发HTTPS文件传输 二、证书的类型和自制证书生成 1.什么是数字证书(Certificate) 在HTTPS的传输过程中,有一个非常关键的角色——数字证书,那什么是数字证书?又有什么作用呢? 所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点: 使用数字证书能够.
https 出现host name not match 问题
sonycong的专栏
05-26 3万+
'www.xxx.com' does not match the certificate subject provided by the peer 出现这个问题的原因是你访问的域名和你访问服务器的证书的机构(域名)不一致导致的,比如,你的证书是为域名 sss.com注册的,而你访问的时候的域名是xxx.com,这个时候就会报这种错误,解决办法是重写httpclient的HostnameVerif
【转】HTTPS双向认证指南
最新发布
tpriwwq的专栏
07-20 816
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。
android清空json,android – 如何从JSONObject中删除nameValuePairs键?
weixin_42519514的博客
05-27 866
问题:默认情况下改造使用GSON将HTTP主体转换为JSON和从JSON转换.使用@Body注释指定的对象将被传递给GSON进行序列化,其基本上将JAVA对象转换为JSON表示.这个JSON表示将是HTTP请求体.JSONObject通过名称nameValuePairs将所有键值映射存储在成员变量中.以下是JSONObject实现的摘录:public class JSONObject {...pr...
https双向认证
u014644574的博客
08-07 1万+
https双向认证
HTTPS详细总结
张木期的博客
10-12 2729
最近学习htpps,下面来总结一下,以下内容多来源于网上,出错不详了,仅仅当做自己做笔记用 。 HTTPS详解 很多人可能不能很好的理解HTTPS,不能理解为什么HTTPS的代码要那样写。因此我写了这片博客,希望能让更多人了解HTTPS。 密码(Cipher) Java 1.2内置了一个叫做"JCE"(Java Crytography Extension)的系统。它主要...
【无线AP企业级认证之搭建FreeRadius服务器(一)】
不emo的博客
03-18 2285
TLS、TTLS、EAP等证书加密
k8s-身份认证与权限
Mclaughling的博客
10-28 4594
k8s-身份认证与权限 K8s中的用户 k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。 **User Account(用户账号):**一般是指由独立于Kubernetes之外的其他服务管理的用户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernet
dubbo-go 可信 RPC 调用实现
阿里巴巴中间件
05-21 798
Apache Dubbo/Dubbo-Go 作为阿里巴巴开源的一款服务治理框架,因其适应 Java/Go 开发者面向接口的编程习惯、完全透明的调用方式、优越的性能以及强大的扩展性等优点,...
开发环境HTTPS证书生成及nginx配置
zsj777的专栏
09-06 360
在linux上生成证书,需要openssl。 HTTPS证书验证流程(极简化版) 1.客户端向服务端请求证书(server.crt) 2.服务端下发证书(server.crt) 3.客户端用预制的受信任机构的证书(ca.crt)来验证服务端下发的证书(server.crt)是否合法,并且还会校验下发下来的证书里的域名与要请求的域名是否一致 【以下步骤开启双向验证...
Openssl编程获取证书common name
auvKone
05-20 5081
Talk is cheap, show me the code!#include <stdio.h> #include <stdlib.h> #include <assert.h> #include <openssl/bio.h> #include <openssl/x509v3.h>int main(int argc, char **argv) { char cn[256] = "";
chrome 浏览器报 NET::ERR_CERT_COMMON_NAME_INVALID 问题分析
热门推荐
zerooffdate的专栏
05-30 29万+
为了防止更多的小白进入这个帖子,寻求一个无脑操作,我决定改title。是的,这个文章不能给你一个无脑照着操作的解决方案,只 实际上,可以认为,ERR_CERT_COMMON_NAME_INVALID就是用一个错误的域名访问了某个节点的https资源。导致这个错误的原因,基本是 dns污染 host设置错误 官方更新了dns,但是dns缓存没有被更新,导致错误解析。 另外,多说一句,作为多年的服务器工程师,真心希望给位,不要在本地配置ip,请务必相信dns的力量。
Nginx介绍及配置文件详解
ligt
07-22 846
nginx作为web服务以及nginx.conf详解 Nginx系列文章:http://www.cnblogs.com/f-ck-need-u/p/7576137.html 1.nginx简介 nginx是一个优秀的web服务程序、反向代理程序。它采用非阻塞异步的套接字,使用epoll方式实现事件驱动,同时采用一个master+N个worker进程(默认)的方式处理请求,这种架构使得它在并发的处理能力上极其出色,可以比较轻松地解决C10K问题。 2.nginx处理请求的过程简单说明 master进程用于管理
openssl 生成 证书
逆雪寒的天坑
05-23 2153
x509证书一般会用到三类文,key,csr,crt。 Key 是私用密钥openssl格,通常是rsa算法。 Csr 是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定一个密钥。 crt是CA认证后的证书文,(windows下面的,其实是crt),签署人用自己的key给你签署的凭证。    1.key的生成  opens
使用OpenSSL生成ssl证书,在Chrome中已验证
Pavel
05-16 1874
本文章描述一次在使用OpenSSL生成ssl证书的经历根据密码局的一些通知,Sha1和RSA1024已经不再安全了,所以本次使用的算法为Sha256和RSA2048。
wget获取https地址时加入--no-check-certificate
qdujunjie的专栏
09-21 3万+
[root@supportserver-51 src]# wget 'https://www.gnupg.org/ftp/gcrypt/gpgme/gpgme-1.6.0.tar.bz2' --2015-09-21 18:31:54-- https://www.gnupg.org/ftp/gcrypt/gpgme/gpgme-1.6.0.tar.bz2 Resolving www.gnupg.or
关于服务器ssl配置以后,https无法访问的问题
lian_zhihui1984的专栏
02-29 6万+
通常在项目里,如果要用到ssl的话,一般都是自己先做个免费的证书在开发的过程中用的。等到上线了才去花钱买ssl证书。 这一回,自制了证书,在apache里也配置好后,始终无法通过https访问。调查步骤如下 step1. 确认apache配置。 httpd.conf里,查看mod_ssl.so和httpd-ssl.conf配置。如果没有mod_ssl.so的话,通过apach
https 双向认证
08-10
HTTPS双向认证是一种通过SSL/TLS协议进行通信的安全机制。在这种机制中,服务器和客户端都需要使用证书进行身份验证。 具体的双向认证流程如下: 1. 将服务器证书和客户端证书导入到浏览器中。服务器证书应该导入到...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值