certificate 学习

最新推荐文章于 2024-01-24 15:43:46 发布
最新推荐文章于 2024-01-24 15:43:46 发布
阅读量213 收藏
点赞数
分类专栏: secure 文章标签: ssl certificate 证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lujin55/article/details/84200283
版权
前面简单的学习了证书的一些概念。继续学习证书的相关知识及其应用。
提到证书的应用,可以在输入的地址栏看到https,亦http+SSL/TLS。https在http上多了一个安全性。
当我们创建好证书,并且在服务器端配置好后,输入https的URL,此时浏览器会为我们完成SSL/TLS握手协议。
SSL/TLS握手协议分为3次,亦三次握手。
第一次:客户端浏览器会产生随机数RNC,然后发送SSL信息,算法信息,随机数RNC给服务端。服务端也产生随机数RNC,然后发送SSL信息,算法信息,随机数RNS给客户端,服务端证书,客户端证书请求(可有)。 --算法协商
第二次:客户端验证证书。若有客户端证书请求,客户端会发送证书给服务器,服务器验证。 --身份验证
第三次:客户端产生随机数PMS,使用服务端公钥加密随机数PMS,发送随机数PMS加密信息。服务端用私钥解密,获得PMS。然后双方使用随机数RNC,RNS,和PMS建立主密钥MS。主密钥是对称密钥。主密钥生成后,双方会用主密钥构建会话,通知终止握手。 --确定密钥
握手完后,就使用主密钥加密,解密信息进行通信了,证书在这里的作用就是确认你访问的地址可靠性。可以在这篇文章更加了解握手的内容http://www.infoq.com/cn/articles/HTTPS-Connection-Jeff-Moser。
开始总有一个疑问,既然公钥,私钥可以加密解密,为什么还要弄一个对称密钥出来做加密,解密。查下资料,人家说非对称密钥加密,解密效率低,对称密钥效率高一些,具体怎么高就要去把数学学好了,呵呵,就这样知道就有了。

接下来看一下代码是如何实现。我们的代码是运行在容器当中,连接主要靠容器做的,默认情况下都是http开头。若要https开头,就要在容器里面配置一下。我就讲下tomcat的配置。
tomcat负责连接的是connector,到tomcat的conf目录下打开server.xml文件,找到connector这一块,配置https: 

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"     keystoreFile="conf/liu.keystore" keystorePass="123456"/>

https默认端口443,keystorefile指定了密钥库,clientAuth指客户端证书请求,默认false。
配置完后,你的地址就是使用https开头,并且访问该地址就要通过SSL/TSL协议了。

问题:我开始配置的时候,属性protocol="HTTP/1.1",这是会报错,说tomcat not find a matching property。我上面配置NIO,当然也可以配置成BIO。

浏览器帮我们做了SSL/TLS的功能,客户端用程序访问服务器,是如何做的呢?
那就要用到HttpsURLConnection和SSLSocketFactory这二个类了。
HttpsURLConnection用于建立连接,SSLSocketFactory做验证。 


URL url = new URL("httpsUrl");
HttpsURLConnection httpsConn = (HttpsURLConnection) url
					.openConnection();
SSLClientSocket client = new SSLClientSocket();
SSLSocketFactory sslSocketFactory = client.getFactoryNoPath();
httpsConn.setSSLSocketFactory(sslSocketFactory);
httpsConn.getInputStream();


public SSLSocketFactory getFactoryNoPath(){
		 SSLContext context = null;
	        try {
	        	X509TrustManager tm = new X509TrustManager() {
	                public void checkClientTrusted(X509Certificate[] xcs, String string) throws CertificateException {}
	                public void checkServerTrusted(X509Certificate[] xcs, String string) throws CertificateException {}
	                public X509Certificate[] getAcceptedIssuers() {
	                    return null;
	                }
	            };
	        	context = SSLContext.getInstance("SSL");
	            context.init(null, new TrustManager[] {tm}, null);
	        } catch (KeyManagementException ex) {
	            Logger.getLogger(SSLClientSocket.class.getName()).log(Level.SEVERE, null, ex);
	        }catch (NoSuchAlgorithmException ex) {
	            Logger.getLogger(SSLClientSocket.class.getName()).log(Level.SEVERE, null, ex);
	        }
	        SSLSocketFactory ssf = context.getSocketFactory();
	        return ssf;
	}


步骤很简单,通过URL获得HttpsURLConnection,然后设置一下SSLSocketFactory。SSLClientSocket是自己以前写的,用于获取SSLSocketFactory,这一个socketFactory的并没有做验证服务器证书操作。
开始的时候一直一个错误的理解,认为客户端这边已经得到服务器端证书,而且要验证的话必须给服务端证书,而且写在getAcceptedIssuers里。
在客户端,在checkServerTrusted里面,做服务端证书验证。在服务端,在checkClientTrusted里面做客户端证书验证。

在看一下服务器和客户端都使用程序通信,怎么实现SSL通信
客户端 

public void clientSocket(String path) {
        SSLContext context = null;
        try {
            KeyTool keytool = new KeyTool();
            KeyStore keyStore = keytool.getKeyStore(path);
            X509Certificate[] x509 = new X509Certificate[]{(X509Certificate)keytool.getCertificate(keyStore, "serverkey")};
            TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
            tmf.init(keyStore);
            TrustManager[] tm = tmf.getTrustManagers();
            context = SSLContext.getInstance("SSL");
            context.init(null, new TrustManager[]{new SSLTrustManager(x509)}, null);
            //context.init(null,tm, null);
        } catch (KeyManagementException ex) {
            Logger.getLogger(SSLClientSocket.class.getName()).log(Level.SEVERE, null, ex);
        } catch (KeyStoreException ex) {
            Logger.getLogger(SSLClientSocket.class.getName()).log(Level.SEVERE, null, ex);
        } catch (NoSuchAlgorithmException ex) {
            Logger.getLogger(SSLClientSocket.class.getName()).log(Level.SEVERE, null, ex);
        }
        SSLSocketFactory ssf = context.getSocketFactory();
        try {
            SSLSocket ss = (SSLSocket) ssf.createSocket("localhost", 8000);
            System.out.println("customer already");
            ObjectInputStream os = new ObjectInputStream(ss.getInputStream());
            System.out.println(os.readObject());
            os.close();
            ss.close();
            System.out.println("ok");

        } catch (ClassNotFoundException ex) {
            Logger.getLogger(SSLClientSocket.class.getName()).log(Level.SEVERE, null, ex);
        } catch (IOException ex) {
            Logger.getLogger(SSLClientSocket.class.getName()).log(Level.SEVERE, null, ex);
        }
    }

可以根据该方法获取服务器证书 

 Certificate[] aCerts = ss.getSession().getPeerCertificates();


服务端 


public void sslServerSocket(String path) {
        boolean flag = true;
        SSLContext context = null;
        try {
            KeyTool keytool = new KeyTool();
            KeyStore keyStore = keytool.getKeyStore(path);
            PrivateKey pk = keytool.getPrivateKey(keyStore, "serverkey");
            KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
            kmf.init(keyStore, "123456".toCharArray());
            X509Certificate[] x509 = new X509Certificate[]{(X509Certificate)keytool.getCertificate(keyStore, "serverkey")};
            KeyManager[] km = kmf.getKeyManagers();
//            TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
//            tmf.init(keyStore);
//            TrustManager[] tm = tmf.getTrustManagers();
            context = SSLContext.getInstance("SSL");
            context.init(new KeyManager[]{new SSLKeyManager(pk,x509)}, null, null);
            //context.init(km, null, null);
        } catch (KeyManagementException ex) {
            Logger.getLogger(SSLServerSockets.class.getName()).log(Level.SEVERE, null, ex);
        } catch (KeyStoreException ex) {
            Logger.getLogger(SSLServerSockets.class.getName()).log(Level.SEVERE, null, ex);
        } catch (UnrecoverableKeyException ex) {
            Logger.getLogger(SSLServerSockets.class.getName()).log(Level.SEVERE, null, ex);
        } catch (NoSuchAlgorithmException ex) {
            Logger.getLogger(SSLServerSockets.class.getName()).log(Level.SEVERE, null, ex);
        }

        SSLServerSocketFactory ssf = context.getServerSocketFactory();
        try {
            SSLServerSocket ss = (SSLServerSocket) ssf.createServerSocket(8000);
            System.out.println("wait for customer connect");
            while (flag) {
                Socket s = ss.accept();
                System.out.println("accept customer connecting");
                ObjectOutputStream os = new ObjectOutputStream(s.getOutputStream());
                os.writeObject("echo: hello");
                os.flush();
                os.close();
                System.out.println();
                s.close();
            }
            ss.close();
        } catch (IOException ex) {
            Logger.getLogger(SSLServerSockets.class.getName()).log(Level.SEVERE, null, ex);
        }
    }

我代码里面初始化KeyManager/TrustManager用了二种方式,一种是从factory里面创建,另一种是直接构建他们的实现类。keystore我初学的时候已经写了怎么获得,keytool是自己写的类。
lujin55
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Certificate scrum
09-15
"Certificate scrum"可能是指获得Scrum认证的过程,这通常包括学习Scrum的基本原则、角色、事件和工件,并通过相关的认证考试。 在Scrum中,有三个核心角色:产品负责人(Product Owner)、Scrum Master和开发团队...
httpsutil java_HttpsUtil
weixin_36179103的博客
03-04 439
放出个常用的访问hppts的工具类。该工具类共两个类文件,一个用于实现证书的java类,一个用于实际调用的java类。MyX509TrustManager用于创建访问https时所需要的证书。[toggle hide="no" title="MyX509TrustManager" color="red"]import javax.net.ssl.X509TrustManager;import ja...
Java get/post的https请求忽略ssl证书认证
qq_37850230的博客
03-24 5794
Java get/post的https请求忽略ssl证书认证
JAVA中https请求绕过证书_关于httpclient 请求https (如何绕过证书验证)
weixin_30022703的博客
02-28 1062
第一种方法,适用于httpclient4.X 里边有get和post两种方法供你发送请求使用。导入证书发送请求的在这里就不说了,网上到处都是import java.io.BufferedReader;import java.io.IOException;import java.io.InputStream;import java.io.InputStreamReader;import java.i...
java javafx webview_JavaFX WebView无法加载某些网站
weixin_29806483的博客
02-24 818
小编典典原因是 java.lang.Throwable: SSL handshake failedTrustManager trm = new X509TrustManager() {public X509Certificate[] getAcceptedIssuers() {return null;}public void checkClientTrusted(X509Certificate[]...
httpClient忽略https的证书认证
最新发布
专搞技术的小兔子
01-24 2435
接口地址及参数:https://xxx.xxx.com/api/v3/technicians?input_data={“list_info”:{“search_fields”:{“email_id”:“wjjia@iflytek.com”}}}HttpClient工具类范例。
AWS Solution Architect Certificate
04-17
AWS Solution Architect Certificate是亚马逊网络服务(Amazon Web Services, AWS)提供的一个重要认证,旨在验证个人在设计和实施基于AWS云的解决方案方面的能力。这个证书对于那些希望成为AWS解决方案架构师的专业...
tensorflow certificate 深度学习开发者认证 Google证书 5道建模问题 文本分类图像分类时序预测 参考
04-30
tensorflow certificate 开发者认证 深度学习证书 Google认证 5道建模问题 文本分类图像分类时序预测 参考 本人已获得认证 模型搭建 保存为h5格式 keras numpy pandas 自然语言处理 祝你100美元花得值!该证书旨在让...
Linux学习笔记
11-23
### Linux学习笔记——用户与组管理及配置文件详解 #### 一、用户和组管理配置文件解析 在Linux系统中,用户和组管理是极为重要的组成部分。为了更好地理解和操作这些内容,下面将详细介绍几个关键配置文件及其...
跳过HTTPS证书java
11-08
跳过HTTPS证书java SSLContext ctx = SSLContext.getInstance("TLS"); X509TrustManager tm = new X509TrustManager() { public X509Certificate[] getAcceptedIssuers() { return null; } public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException { } public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException { } };
X509TrustManager信任SSL证书
热门推荐
LI_AINY的博客
07-02 3万+
做个笔记 private Discovery getTrustDiscovery() throws KeyManagementException, NoSuchAlgorithmException, NoSuchProviderException, IOException { // 对用户提供的标识符执行发现 Discovery dd = new Discovery(); // ...
java 访问 https网站_解决java访问https网站报错的问题
weixin_39876514的博客
02-12 703
听说java的苛刻,没有想到居然到了如此严格的地步。因为抽取数据的需要,在jsp中需要对其他网站页面截取,今天发现怪异的问题,在windows的开发环境一切正常,但是部署到linux上就不能运行提示:javax.net.ssl.SSLException: java.security.ProviderException: java.security.InvalidKeyException: EC p...
证书异常导致:javax.net.ssl.SSLHandshakeException: sun.security.validator
Aikes Blog
10-08 1万+
程序访问Https地址时报错处理
Java 解决PKIX path building failed问题(信任所有证书)
qq_36138652的博客
11-08 6075
解决PKIX path building failed
java 请求https post 接口 绕过证书验证
zhaofuqiangmycomm的博客
07-16 2893
1,创建java类继承 X509TrustManager,绕过证书用 import javax.net.ssl.X509TrustManager; public class MyX509TrustManager implements X509TrustManager { public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateExceptio..
取消https的ssl验证
SmileTimLi的博客
04-08 8981
//取消https的ssl验证 DisableSSLCertificateCheckUtil.disableChecks(); import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.net.ssl.*; import java.io.IOException; import java.net.URL;...
WCF分布式安全开发实践(6):传输安全模式之自定义X509Certificate证书验证:Transport_X509Certificate_WSHttpBinding
微软特邀讲师 老徐FrankXuLei 的专栏
08-21 1724
Posted on 2009-08-21 00:30 Frank Xu Lei 阅读(1377) 评论(14)  编辑 收藏 网摘 所属分类: WCF分布式安全开发实践, SOA and EAI <!--<rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"xmlns:dc="ht
java的https请求解决证书问题
weixin_33888907的博客
10-20 368
package sqr.srchSpider.utils; import java.security.SecureRandom; import java.security.cert.CertificateException; import java.security.cert.X509Certificate; import javax.net.ssl.HostnameVerif...
An SSL certificate in the certificate chain has been signed using a weak hash algorithm
07-28
- *1* *2* [SSL Certificate Signed using Weak Hashing Algorithm](https://blog.csdn.net/weixin_42369552/article/details/102589691)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值