[java] CA证书与SSL握手杂谈

最新推荐文章于 2024-04-08 11:22:27 发布
最新推荐文章于 2024-04-08 11:22:27 发布
阅读量430 收藏
点赞数
分类专栏: JAVA学习 SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hui85206/article/details/109877708
版权

最近做一个项目需要用到双向认证,然后研究了下CA证书,以及SSL握手过程,主要是源码相关的。

 

因为讲理论的文章太多了,讲得也非常好。

refs:

SSL双向认证和SSL单向认证的区别
https://www.jianshu.com/p/fb5fe0165ef2

图解 https 单向认证和双向认证!
https://cloud.tencent.com/developer/news/233610

SSL/TLS 双向认证(一) -- SSL/TLS工作原理
https://blog.csdn.net/wuliganggang/article/details/78428866

SSL 证书格式普及,PEM、CER、JKS、PKCS12 

https://blog.freessl.cn/ssl-cert-format-introduce/

我这里主要讲讲我们在编写springboot web服务有用的信息。

一. 服务器端ssl配置及开启双向认证

如果客户端使用的CA证书,则不需要配置trust-store相关配置

#服务器存放证书的路径,用于服务器收到clientHello消息后,
#回复serverHello并给客户端发送证书时使用
server.ssl.key-store=classpath:config/keystore/server-cert.jks
#证书库密码
server.ssl.key-store-password=abc123
server.ssl.key-alias=1
server.ssl.keyStoreType=JKS

#信任的证书库路径(双向认证的时候,如果客户端是自签名证书,
#需要把客户端证书加到项目中(如下的classpath:keystore/trust-client.jks)
server.ssl.trust-store=classpath:keystore/trust-client.jks
#信任的证书库密码
server.ssl.trust-store-password=abc123
server.ssl.trust-store-type=JKS
server.ssl.trust-store-provider=SUN

#开启客户端证书校验
server.ssl.client-auth=need

二. 客户端(这里指的是使用httpclient访问另一个服务的web服务)ssl相关配置

 如果服务器使用的CA证书,则客户端不需要配置上面的trust-store相关配置,

如果服务端使用的自签名证书,则可必须将服务器的证书配置在truest-store中,

并通过SslContext的loadTrustMaterial函数将证书加载到restTemplate并配置信任策略为TrustSelfSignedStrategy。

HttpClientBuilder httpClientBuilder = HttpClientBuilder.create();
        SSLContext sslContext = null;
        try {
            File trustFile = new File("classpath:config/keystore/server-cert.jks");
            File keyFile = new File("classpath:config/keystore/client-cert.jks");
            // setup a Trust Strategy that allows all certificates.
            sslContext = new SSLContextBuilder()
                    .loadTrustMaterial(trustFile, "abc123".toCharArray(), TrustAllStrategy.INSTANCE)
                    .loadKeyMaterial(keyFile, "abc123".toCharArray(), "abc123".toCharArray())
                    .build();
            httpClientBuilder.setSSLContext(sslContext);
        } catch (NoSuchAlgorithmException | KeyStoreException | KeyManagementException e) {
            log.info(ExceptionUtils.getStackTrace(e));
        } catch (CertificateException | IOException | UnrecoverableKeyException e) {
            e.printStackTrace();
        }

 

配置好之后,请打开jvm参数 -Djavax.net.debug=ssl,handshake, 然后你就可以看到所以ssl相关的log输出,log里有完整的握手过程提示,

你可以在任何你需要的地方打断点就行调试。

 

中年油腻男人的转型之路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java怎么使用sni,启用SNI扩展的SSL握手 - 服务器上的证书选择
weixin_32968105的博客
03-13 940
SSL握手期间,当在客户端中启用SNI扩展时,服务器不会选择并将所需的证书呈现给客户端 .我有一个证书链,我已经导入到服务器上的JVM密钥库 .由内部中间发布CA颁发的服务器证书 .主题:CN = myserver.example.com内部根CA颁发的中间证书 .X509v3 Key Usage:Digital Signature, Certificate Sign, CRL SignX509...
Java中的KeyStore和TrustStore以及 keytool 命令的使用
qq_31856061的博客
06-30 6605
当应用需要使用SSL/TLS进行通信时,我们将会使用到密钥库(keystore)和信任库(truststore)。 在 JDK8 之前,这些文件的默认格式为 JKS;从 JDK9 开始,默认格式为PKCS12。KeyStore 存储一个私钥和一个相关的证书,或者相关的证书链(由客户证书和一个或多个证书颁发机构(CA证书组成)。存储时,使用别名存储。它通常用于表明通信一方的身份。比如服务器使用 HTTPS,在 SSL 握手期间,服务器从密钥库中查找私钥,并将其对应的公钥和证书提供给客户端。一般都是单向认证,
SSL中的CA证书
最新发布
靖妖傩舞
04-08 1106
SSL如何保证网络通信的安全和数据的完整性呢?身份认证和数据加密。身份认证就需要用到CA证书CA证书的签发机构,它是公钥基础设施(Public Key Infrastructure,PKI)的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。CA 拥有一个证书(内含公钥和私钥网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA证书(含公钥),用以验证它所签发的证书。电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。证书的格式和验证方法普遍遵循。
java truststore创建_转/keystore和truststore的区别
weixin_31342203的博客
02-26 1418
keytool是java自带的工具用于产生密钥keystore可以看成一个放key的库,key就是公钥,私钥,数字签名等组成的一个信息。truststore是放信任的证书的一个store.那他们之间有啥关系和联系呢?在一个安全链接的模型中又各自起到什么作用呢?其实我也没搞太清楚-_-b我先把目前的理解记下来,以后再慢慢修正这篇主要针对的是web应用,web应用一般是通过https,ssl来做客户端...
ssl认证、证书java中的ssl语法API说明(SSLContext)、与keytool 工具的联系
m0_45406092的博客
04-04 3105
java中,我们经常需要使用SSL/TLS连接,这种连接是加密连接,https之类的基于TCP/IP协议的应用层协议加密传输,也经常基于这种加密连接,这种连接jdk底层已经提供了默认的实现,并且是基于jdk中的keystroe证书库实现的认证。默认的SocketFactory实现ssl连接时,是基于这个默认的证书库的实现,因此当遇到证书库中不存在的证书时,就会出现ssl连接异常的问题。或者将不信任的证书安装到中解决问题。
使用WebClient和RestTemplate访问HTTPS
qq_44741568的博客
09-18 1727
公司一个SpringBoot系统需要HTTPS改造,要求HHTP、HTTPS单向、HTTPS双向都是可配置的,它们是由四个系统构成的,相互之间通过WebClient和RestTemplate进行请求。所以首先我们可以明确配置文件的内容: server: port: 8080 ##Https改造, 若不是https则将enabled置为false, 若是则上传对应的证书,完善正确的配置 ssl: # 是否开启SSL enabled: true key-store: serv
Java如何跳过https的ssl证书验证详解
08-25
SSL证书只是数字证书的一种,CA机构签发SSL证书CA是数字证书管理机构。从理论上来说,如果服务端采用HTTPS协议,而自己没有SSL证书(服务端不提供SSL证书),那么通信是不可能成功的。 三、Java跳过HTTPS的SSL...
JAVA开发以CA证书Socket SSL方式连接XX抗菌药物系统
01-23
JAVA开发以CA证书Socket SSL方式连接XX抗菌药物系统的demo程序,避免掉坑。如必须TLS1.2以上,CA证书为2023年官网下载,最新版请到官网自行下载后更新。
ssl证书(nginx+tomcat+java代码适用)
07-09
ssl自制全套证书(包含服务器端、客户端、ca端的证书,格式有.crt,.key,.truststore,.keystore,.p12,.cer,.pem等类型),当时要配置webservice接口、tomca、nginx通过ssl访问的证书,弄了好久才生成了一套能使用的。...
CFCA证书环境Java安装
05-18
完成上述步骤后,Java应用将具备处理CFCA证书的能力,能够顺利地与使用CFCA证书的服务器建立安全连接,满足金融业平台统一登录的安全要求。在实际操作中,可能还需要根据具体环境和应用需求调整配置,例如,如果是多...
HTTPS CA证书与TLS建立过程
09-20
自己在网上搜了好多资料,根据自己的理解整理了HTTPS、CA证书、TLS建立的过程,简单画了个图
历时两个星期总结出的史上最全的Spring Cloud 属性文件配置
Java_supermanNO1的博客
02-25 1050
本文转载自:历时两个星期总结出的史上最全的Spring Cloud 属性文件配置 在我搭建基于Spring Cloud的微服务体系应用的时候所需要或者是常用的属性配置文件,还有这些属性的用途,此配置大多数来自互联网,稍作整理,记录再此,以便忘记的时候可以快速的检索到,也方便其他人更加快的融入到这门技术中。 首先先来看一下基于Spring Boot项目的配置文件加载权重: 启动时命令行里面传入的...
基于SSL/TLS双向安全连接设备CA证书认证
编程识堂的博客
12-05 4608
SSL/TLS 安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中很常见的一种身份检查方式是检查对方持有的 X.509 数字证书。这样的数字证书通常是由一个受信机构颁发的,不可伪造。 **保证机密性。**TLS 通讯的每次会话都会由会话密钥加密,会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。 完整性。 加密通讯中的数据很难被篡改而不被发现。 SSL/TLS 协议 TLS/SSL 协议下的通讯过程分为两部
java ssl_Java SSL 证书细节
weixin_35829279的博客
02-19 530
关于SSL这块,网上很多,但很多都是讲原理或怎么生成证书实现简单通信,没有讲到实践时的诸多细节。SSL, 即Secure Sockets Layer 安全套接层。本文介绍SSL的一些常见问题,用的语言主要是Java。首先明确SSL的目的,就是加密。就是在Socket的基础上增加安全性。一般来讲,就是避免客户端向服务端传输数据时,被人拦截篡改,避免所谓的中间人攻击,防范钓鱼网站。关于它的基础概念,可...
如何使用Java访问ssl双向认证的Https资源——三种方式(好文章!)
HD243608836的博客
07-13 2677
本文的相关源码位于https://github.com/dreamingodd/CA-generation-demo 0.Nginx配置Https双向认证 首先配置Https双向认证的服务器资源。 可以参考:http://www.cnblogs.com/dreamingodd/p/7357029.html 完成之后如下效果: 1.导入cacerts进行访问 首先将服务器证书导入keystore cacerts,默认密码为changeit,如果需要修改密码就改一下。 keytoo..
Spring实现HTTPS方式访问服务(单向认证)
Staba的博客
11-24 3641
本文通过Spring来配置https服务,后续会将相关的知识内容简单讲解一下,该文章主要是https单向认证,双向认证实现过程将在后续不久的另外一边文章涉及,感兴趣的小伙伴可以提前提供关注一下。
SpringBoot配置属性之Server
weixin_34007291的博客
11-16 449
SpringBoot配置属性系列 SpringBoot配置属性之MVC SpringBoot配置属性之Server SpringBoot配置属性之DataSource SpringBoot配置属性之NOSQL SpringBoot配置属性之MQ SpringBoot配置属性之Security SpringBoot配置属性...
Java信任自定义ca,自建CA证书java实现通过OkHttpClient发送https(验证ca证书)请求
weixin_36047554的博客
03-11 721
import okhttp3.Call;import okhttp3.OkHttpClient;import okhttp3.Request;import okhttp3.Response;import javax.net.ssl.*;import java.io.FileInputStream;import java.io.IOException;import java.security.*;i...
SpringBoot - SpringBoot配置说明
MinggeQingchun的博客
08-30 2296
相对于server.servlet.context-path或management.server.servlet.context-path,如果配置了management.server.port。spring.jta.narayana.expiry-scanners = com.arjuna.ats.internal.arjuna.recovery.ExpiredTransactionStatusManagerScanner #逗号分隔的到期扫描程序列表。否则,默认为“none”。......
java RestHighLevelClient 连接开启SSL的ES 使用Ca证书
06-07
要在Java RestHighLevelClient中连接开启SSL的ES并使用Ca证书,您可以按照以下步骤进行设置: 1. 将Ca证书添加到Java的TrustStore中。您可以使用以下命令将Ca证书添加到Java的TrustStore中: ``` keytool -importcert -file /path/to/ca_cert.pem -keystore $JAVA_HOME/jre/lib/security/cacerts -alias my_ca ``` 2. 在Java代码中创建SSLContext并使用TrustStore中的Ca证书。您可以使用以下代码创建SSLContext: ```java SSLContextBuilder sslBuilder = SSLContexts.custom().loadTrustMaterial(trustStore, null); SSLContext sslContext = sslBuilder.build(); ``` 3. 在RestHighLevelClient中使用创建的SSLContext。您可以使用以下代码创建RestHighLevelClient: ```java RestHighLevelClient client = new RestHighLevelClient( RestClient.builder(new HttpHost("localhost", 9200, "https")) .setHttpClientConfigCallback(httpClientBuilder -> httpClientBuilder.setSSLContext(sslContext)) ); ``` 这样,您就可以使用Java RestHighLevelClient连接到开启SSL的ES并使用Ca证书进行安全通信了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值