使用Java执行mTLS调用

最新推荐文章于 2024-05-28 17:22:23 发布
最新推荐文章于 2024-05-28 17:22:23 发布
阅读量1.1k 收藏
点赞数
文章标签: java nginx ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i6588662/article/details/123284437
版权

在本教程中,我们将学习如何通过使用不同的客户端使我们的Java应用程序能够使用mTLS。我们将使用将mTLS添加到Nginx实例的现有示例。

假设我们有一个Nginx实例,使用SSL还有。如果使用Java与使用mTLS保护的服务进行交互,则需要对代码库进行一些更改。在本教程中,我们将使Java应用程序能够使用不同客户端的mTLS。

要快速入门,我们可以使用现有的示例添加MTLS一个Nginx实例。我们的java mTLS配置将使用用于将mTLS添加到Nginx的证书和密钥。

为了为我们的Java客户端进行SSL配置,我们需要首先设置一个SSLContext。这简化了一些事情,因为SSLContext可以用于现有的各种http客户机。

因为我们有客户端的公钥和私钥,所以我们需要将私钥从PEM格式转换为der。

kcs8 -topk8 -inform PEM -outform PEM -in /path/to/generated/client.key -out /path/to/generated/client.key.pkcs8 -nocrypt
复制代码

通过在本例中使用本地Nginx服务,我们需要禁用主机名验证。

final Properties props = System.getProper
最低0.47元/天 解锁文章
晴天ti
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mtls-best-friend:一个轻量级的网站,用于同时测试客户端和服务器的mTLS
05-16
mTLS最好的朋友 一个轻量级的网站用于测试MTLS作为客户端和服务器,与Next.js建 该项目是为初次贡献者和开源初学者而设计的 该项目遵循,是其社区原则和政策的一部分,将所有决策和互动重点放在为开源初学者提供真实和相关经验的指导上,尊重每个学习进度,背景经验,学术形成,问题,建议和疑问和意见。 现在就贡献! 因此,让我们开始贡献力量! 首先,转到“问题”标签并打开一个新的问题,标题为:“我想贡献”。 然后,在第一条评论中,自我介绍,并要求分配一项任务给您。 如果您已经有问题,请随时在同一评论中进行描述。 指导者/维护者将以项目的技术概述和一些可能的贡献方式做出回应。 您将讨论这些选项,并且在商定合适的问题后,导师将创建一个新的问题并将其分配给您。 就是这样! 只要让自己在家,祝您好运! 项目依赖 该项目使用NextJS和TailwindCSS 2 Tailwind CSS需要
理解mTLS
vimin_1314的博客
12-14 9568
为 Ingress-nginx 配置双向认证(mtls) 转载:为 Ingress-nginx 配置双向认证(mtls) - 知乎 (zhihu.com) 首先什么是 mtls (双向认证)?它是一个过程,在这个过程中,客户机和服务器都通过证书颁发机构彼此验证身份。 相信 tls 大家都比较熟悉,就是 server 端提供一个授信证书,当我们使用 https 协议访问server端时,client 会向 server 端索取证书并认证(浏览器会与自己的授信域匹配或弹出不安全的页面)。 mtls 则.
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1541
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
Istio mtls 使用
baobaoxiannv的博客
07-24 916
Istio 版本: 1.6.0 1:设置启动参数 $ kubectl get iop -A -oyaml > temp.yaml $ vim temp.yaml # 添加 enableAutoMtls: true PeerAuthentication CRD 解释 PeerAuthentication 定义流量是否通过隧道到达 SideCar apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication metadata: nam
hello-mtls:演示各种技术中相互TLS配置的文档
02-05
你好mTLS 该软件包包含有关如何配置多种技术以执行相互TLS的文档。 它是项目的一部分,该项目旨在提高开发人员对公钥基础结构的认识,将其作为常见安全问题的潜在解决方案。 如果您发现任何过时,丢失或错误的文档,强烈建议您提出拉取请求! 贡献 每种技术的文档都位于文件夹中的相应目录中。 要开始进行本地开发,请克隆此存储库并启动本地开发服务器: $ yarn install $ yarn start 您将可以在预览所有更改。 增加新技术 如果要添加新技术,最好的选择是引用此存储库中的现有配置,但这是每个目录内容的高级分类。 config.yaml 该文件配置基本信息,例如技术名称和文档的
写给 Kubernetes 工程师的 mTLS 指南
ServiceMesher
06-17 259
本文翻译节选自A Kubernetes engineer’s guide to mTLS[1],为了便于读者理解,笔者对原文做了一点修改 (本文删除了原文中的与主题关系不大的 Linkerd 安装的部分,将 Twillio 替换成国内读者比较熟悉的 GitHub)。因为笔者最近在研究 Istio 中的身份认证及 SPIFFE,对如何在 Kubernetes 中应用 mT...
MTLS-SVM.rar_SVM_mtls_svm 预测_svm预测
09-23
支持向量机(Support Vector Machine, SVM)是一种监督学习模型,常用于分类和回归分析。在标题"MTLS-SVM.rar_...如果想要在其他项目中使用这个模型,需要熟悉其API接口和调用方式,以确保能正确地集成到现有系统中。
open-banking-client-authentication-tool:简单的命令行工具,演示了TPP如何通过MTLS通道使用private_key_jwt在ASPSP令牌端点进行身份验证
05-19
开放银行客户身份验证工具命令行工具,可用于使用OAuth client_credentials授予和private_key_jwt身份验证向ASPSP请求访问令牌。 工具: 生成私钥JWT 通过相互认证的通道向ASPSP提交认证请求用法要运行该工具: 确保...
tlscerts:mtls.dev
05-23
生成和使用mTLS证书比需要的更具挑战性。发展make wasm构建在浏览器中加载的wasm二进制文件。 make dev-serve serve-为本地开发者运行一个简单的python网络服务器,在端口8080上提供服务。 make test -运行测试。 ...
NGINX Service Mesh 中的 mTLS 架构
NGINX开源社区的博客
06-28 244
原文作者:Faisal Memon of F5。
mTLS: openssl创建CA证书
Mr_rain的专栏
03-02 1538
证书可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl
客户端与服务器SSL双向认证(客户端:java-服务端:vc)
04-23
客户端与服务器SSL双向认证(客户端:java-服务端:vc):运行成功,
mTLS: TLS/CA/证书 简介
Mr_rain的专栏
03-02 1136
简称英文全称中文全称CA证书颁发机构PCA私有证书颁发机构,又名私有 CASSL安全套接字层协议TLS传输层安全性协议HTTP超文本传输协议HTTPS超文本传输安全协议EV SSLEV 证书,又名扩展验证证书OV SSLOV 证书,又名组织验证证书DV SSL证书,又名域验证证书通配符证书MDC多域 SSL 证书UCC统一通信证书TLD顶级域PKI公钥基础设施OCSP在线证书状态协议CSP加密服务提供商Public key公钥私钥。
Istio的mTLS认证
Micky_Yang的博客
08-14 3246
一、理解mTLS   TLS在web端使用的非常广泛,针对传输的内容进行加密,能够有效的防止中间人攻击。双向TLS(Two way TLS/Mutual TLS,简称mTLS)的主要使用场景是在B2B和Server-toServer的场景中,以支持服务与服务之间的身份认证与授权。      mTLS主要负责服务与服务之间传输层面的认证,具体实现在sidecar中,在具体进行请求时,讲经历如下过程:   1)客户端发出的请求将被发送到客户端sidecar   2)客户端sidecar与服务端sidecar开
mtls加密双向认证
热门推荐
sun007700的专栏
01-27 1万+
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理_ustccw-CSDN博客_双向认证 SSL/TSL双向认证过程与Wireshark抓包分析_区块链之美-CSDN博客_ssl双向认证抓包
gRPC 在跨云架构中的 mTLS 配置
m0_65403567的博客
12-23 1392
传统的网络安全是基于边界的安全。通过将网络划分成外网和内网,在边界上部署防火墙,从而建立了一个基本假设——内网比外网安全。位于网络边界的前置代理服务器 (Nginx) 接收外部到达的加密 TLS 流量,将其解密为 HTTP 明文,然后再将流量转发到内网某个服务。在实践中,绝大多数内部服务都是以 HTTP 明文的方式通信。 随着云计算的兴起,跨云部署等场景正在逐步模糊网络安全边界。服务与服务通信不得不跨越互联网鸿沟,明文流量显而易见不再安全。 为了支持跨云部署场景下的 gRPC 服务调用,配置 mTLS
[golang]使用mTLS双向加密认证http通信
Gefangenes的博客
08-08 301
假设一个场景,服务端部署在内网,客户端需要通过暴露在公网的nginx与服务端进行通信。为了避免在公网进行 http 明文通信造成的信息泄露,nginx与客户端之间的通信应当使用 https 协议,并且nginx也要验证客户端的身份,也就是mTLS双向加密认证通信。这条通信链路有三个角色:服务端、Nginx、客户端。服务端部署在内网,与nginx使用http通信。客户端在公网,与nginx使用https通信,且双向加密认证。
在kong上,自行实现mTLS
wzp1986的专栏
01-05 1303
准备DB-less模式的kong服务器使用全局插件,在certificate阶段要求获取客户端证书,在rewrite阶段验证客户端证书 本文基于kong2.5版本,目标是根据tls协商的域名,让kong从配置里(而不是本地证书文件)选择对应的服务端证书以及用于验证客户端证书的CA证书。 准备DB-less模式的kong服务器 使用配置文件比较容易看清全局配置,在开发阶段,也容易清理和初始化全部kong规则 _format_version: "2.1" _transform: false servic
jdk11 httpclient 忽略域名校验(hostname校验)配置方法及源码探究
weixin_44670774的博客
04-13 370
最近在使用JDK11及以后支持的Httpclient,要忽略域名的校验,以前用apache httpclient的时候有一个可以会忽略域名校验,但是jdk自带的httpclient并没有支持此功能...
如何使用java进行配置和实现mtls
05-13
MTLS(Mutual TLS)是一种双向的TLS(Transport Layer Security)认证方式,即客户端和服务端都需要验证对方的身份。Java中可以使用JSSE(Java Secure Socket Extension)实现MTLS。 下面是一个简单的实现MTLS的示例代码: ```java import java.io.FileInputStream; import java.io.IOException; import java.io.InputStream; import java.net.InetSocketAddress; import java.security.KeyStore; import java.security.cert.CertificateException; import java.security.cert.X509Certificate; import javax.net.ssl.KeyManagerFactory; import javax.net.ssl.SSLContext; import javax.net.ssl.SSLException; import javax.net.ssl.SSLServerSocket; import javax.net.ssl.SSLServerSocketFactory; import javax.net.ssl.TrustManager; import javax.net.ssl.TrustManagerFactory; import javax.net.ssl.X509TrustManager; public class MTLSExample { private static final String KEYSTORE_PATH = "keystore.jks"; private static final String KEYSTORE_PASSWORD = "password"; private static final String TRUSTSTORE_PATH = "truststore.jks"; private static final String TRUSTSTORE_PASSWORD = "password"; private static final int PORT = 8443; public static void main(String[] args) throws Exception { // Load the key store KeyStore keyStore = KeyStore.getInstance("JKS"); try (InputStream is = new FileInputStream(KEYSTORE_PATH)) { keyStore.load(is, KEYSTORE_PASSWORD.toCharArray()); } // Create key manager factory KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); keyManagerFactory.init(keyStore, KEYSTORE_PASSWORD.toCharArray()); // Load the trust store KeyStore trustStore = KeyStore.getInstance("JKS"); try (InputStream is = new FileInputStream(TRUSTSTORE_PATH)) { trustStore.load(is, TRUSTSTORE_PASSWORD.toCharArray()); } // Create trust manager factory TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); trustManagerFactory.init(trustStore); // Create SSL context SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null); // Create a server socket SSLServerSocketFactory sslServerSocketFactory = sslContext.getServerSocketFactory(); SSLServerSocket sslServerSocket = (SSLServerSocket) sslServerSocketFactory.createServerSocket(); sslServerSocket.bind(new InetSocketAddress(PORT)); // Set up a trust manager that trusts all certificates sslServerSocket.setNeedClientAuth(true); TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { public X509Certificate[] getAcceptedIssuers() { return null; } public void checkClientTrusted(X509Certificate[] certs, String authType) throws CertificateException { } public void checkServerTrusted(X509Certificate[] certs, String authType) throws CertificateException { } } }; sslContext.init(keyManagerFactory.getKeyManagers(), trustAllCerts, null); // Start accepting connections while (true) { System.out.println("Waiting for client connection..."); try (var socket = sslServerSocket.accept()) { System.out.println("Client connected"); } catch (IOException e) { System.out.println("Failed to accept client connection: " + e.getMessage()); } } } } ``` 在这个示例中,我们加载了一个包含服务端和客户端证书的JKS格式的密钥库和信任库,然后创建了一个SSLContext对象,用于创建SSLServerSocket。`sslContext.init()`方法的第二个参数是一个TrustManager数组,用于验证客户端证书。在这个示例中,我们使用了一个简单的实现,它信任所有的客户端证书。在实际应用中,你需要使用一个更安全的实现。 在SSLServerSocket上调用`sslServerSocket.setNeedClientAuth(true)`方法,表示必须要验证客户端证书。如果客户端没有提供证书或者证书验证失败,那么连接将被拒绝。 当客户端与服务端建立连接后,服务端可以使用`socket.getPeerCertificates()`方法获取客户端证书。你可以使用这个证书来验证客户端的身份。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值