Java管理SSL证书

最新推荐文章于 2024-05-25 21:07:00 发布
最新推荐文章于 2024-05-25 21:07:00 发布
阅读量884 收藏 2
点赞数
分类专栏: 信息安全 文章标签: 数字证书 根证书 x509cert 公钥 私钥
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/philip502/article/details/116265570
版权

SSL证书结构

根证书的生成分为三个部分:

  • 生成根证书的公钥和私钥
  • 构建证书的原始证书,包括公钥、加密算法、生效时间、过期时间等信息。
  • 用根证书私钥对原始证书进行签名,生成合法的根证书。
  • 根证书安装,将根证书安装到客户端,比如手机、电脑中。
    代码

 

           

 

生成服务器证书

      

         

 

服务器证书的生成过程与根证书类似,只是给服务器原始证书签名的不是自己生成的私钥,而是根证书的私钥。

客户端证书校验过程

  • 客户端收到服务端发送的服务器SSL证书。
  • 解析获得服务器证书的颁发者
  • 找到已安装在客户端的颁发者根证书,如果没找到则服务器证书非法,停止校验。
  • 用根证书的公钥解析服务器证书的签名信息,完成解析认证成功,否则失败。

我们采用keytool生成相应的根秘钥库、服务器秘钥库、客户端秘钥库

1.从根秘钥库导出根原始证书;

2.从服务器秘钥库导出服务器原始证书;

3.从客户端秘钥库导出客户端原始证书;

4.制作根证书:采用java程序用根私钥对根原始证书签名,issuer与subject保持一致;

5.制作服务器证书:采用java程序用根私钥对服务器原始证书签名,subject的CN为服务器标识,表示专为某服务器签发;

6.制作客户端证书:采用java程序用根私钥对客户端原始证书签名,subject的CN为用户标识,表示专为某用户会话临时签发;


1生成根证书

keytool -list -v -keystore client20210427.keystore -storepass 'clientPassword'

1.1.生成秘钥
keytool -genkey -dname "CN=xx.domain.com, OU=domain, O=xx, L=bj, ST=cy, C=China" -alias root-alias -keypass 'rootPassword' -keyalg RSA -keystore root-key.store -validity 3600

1.2.生成根原始证书 service.cer
keytool -export -alias root-alias -storepass 'rootPassword' -file root-src.cer -keystore root-key.store

1.3.java程序用根私钥对原始证书进行签名




2生成服务器证书
2.1.生成服务器秘钥
keytool -genkey -dname "CN=xx.domain.com, OU=domain, O=xx, L=bj, ST=cy, C=China" -alias server-alias -keyalg RSA -keystore server-key.store -keypass 'serverPassword' -storepass 'serverPassword' -validity 1100
clientPassword
2.2.生成服务器原始证书 service.cer
keytool -export -alias server-alias -storepass 'serverPassword' -file server-src.cer -keystore server-key.store

2.3.java程序用根私钥对原始证书进行签名


3生成客户端证书
3.1.生成客户端秘钥
keytool -genkey -dname "CN=xx.domain.com, OU=domain, O=xx, L=bj, ST=cy, C=China" -alias client-alias -keyalg RSA -keystore client-key.store -keypass 'clientPassword' -storepass 'clientPassword' -validity 1100

3.2.生成客户端原始证书 service.cer
keytool -export -alias client-alias -storepass 'clientPassword' -file client-src.cer -keystore client-key.store

3.3.java程序用根私钥对原始证书进行签名





导出数字证书
keytool -exportcert -alias myCertificate -keystore myKeystore.keystore -file myCer.cer -rfc
各参数含义如下:
-exportcert  表示证书导出操作
-alias     指定别名
-keystore   指定密钥库文件
-file      指定导出证书的文件路径
-rfc      指定以Base64编码格式输出

打印证书

查看数字证书方法
keytool -printcert -file client.cer


再用openssl 验证一下是否正常
openssl x509 -inform DER -in root-sign.cer -text -noout

subject
C=China, ST=cy, L=bj, O=xx, OU=domain, CN=xx.domain.com

 

所有代码在jdk1.8下验证完成

/**
     * 获取证书信息,并自签名待签证书 这里是自签名 得到根证书
     *
     * @param certPath : 待签证书地址
     * @throws Exception
     */
    public X509CertInfo createRootCert(String certPath) throws Exception {

        // 获取待签名证书
        FileInputStream is = new FileInputStream(certPath);
        CertificateFactory vCertFactory = CertificateFactory.getInstance("X.509");
        Certificate certificate = vCertFactory.generateCertificate(is);
        is.close();

        byte[] certData = certificate.getEncoded();
        // 设置签名证书信息:有效日期、序列号、签名者、数字签名算发
        X509CertImpl certImpl = new X509CertImpl(certData);
        X509CertInfo cert = (X509CertInfo) certImpl.get(X509CertImpl.NAME + "." + X509CertImpl.INFO);
        cert.set(X509CertInfo.VALIDITY, getCertValidity());
        cert.set(X509CertInfo.SERIAL_NUMBER, getCertSerualNumber());
        cert.set(X509CertInfo.ISSUER + "." + CertificateIssuerName.DN_NAME, cert.get(X509CertInfo.SUBJECT + "." + CertificateIssuerName.DN_NAME));
        cert.set(CertificateAlgorithmId.NAME + "." + CertificateAlgorithmId.ALGORITHM, getAlgorithm());
        return cert;
    }

签发

/**
     * 取得待签证书信息,并签名待签证书
     *
     * @throws Exception
     */
    public X509CertInfo signCert(CertInfo ci, X509CertInfo cert, String certSavePath) throws Exception {

        X509CertImpl certImpl = new X509CertImpl(cert);

        // 生成新正书验证码
        certImpl.sign(ci.getPk(), "MD5WithRSA");

        BASE64Encoder base64 = new BASE64Encoder();

        File file = new File(certSavePath);
        file.createNewFile();

        FileOutputStream os = new FileOutputStream(certSavePath);

        base64.encodeBuffer(certImpl.getEncoded(), os);

//        certImpl.derEncode(os);
        os.close();

        return cert;
    }

    public X509CertInfo signCert2(CertInfo ci, X509CertInfo cert, String certSavePath) throws Exception {

        X509CertImpl certImpl = new X509CertImpl(cert);

        // 生成新正书验证码
        certImpl.sign(ci.getPk(), "MD5WithRSA");

        FileUtil.writeToFile(certSavePath, certImpl.getEncoded());

        return cert;
    }

    public String signCertBase64(CertInfo ci, X509CertInfo cert) throws Exception {

        X509CertImpl certImpl = new X509CertImpl(cert);

        // 生成新正书验证码
        certImpl.sign(ci.getPk(), "MD5WithRSA");

        BASE64Encoder encoder = new BASE64Encoder();

        String encoded = encoder.encode(certImpl.getEncoded());
        StringBuilder sb = new StringBuilder();
        sb.append("-----BEGIN RSA PRIVATE KEY-----\r\n");
        sb.append(encoded);
        sb.append("\r\n-----END RSA PRIVATE KEY-----");

        return sb.toString();
    }

创建证书

X509CertInfo info = new X509CertInfo();
info.set(X509CertInfo.VERSION, new CertificateVersion(CertificateVersion.V3));
info.set(X509CertInfo.SERIAL_NUMBER, new CertificateSerialNumber(new java.util.Random().nextInt() & 0x7fffffff));
info.set(X509CertInfo.ALGORITHM_ID, new CertificateAlgorithmId(AlgorithmId.get("SHA256withRSA")));
info.set(X509CertInfo.SUBJECT, subject);
info.set(X509CertInfo.KEY, new CertificateX509Key(subjectKeyPair.getPublic()));
info.set(X509CertInfo.VALIDITY, validity);
info.set(X509CertInfo.ISSUER, x509Certificate.getIssuerDN());

 

创建X509CertInfo.SUBJECT 证书使用者信息

    /**
     * 创建证书使用者信息
     * @param CN comonName
     * @param OU organizationalUnitName
     * @param O organizationName
     * @param C countryName
     * @param L localityName
     * @param ST stateOrProvinceName
     * @return
     * @throws IOException
     */
    public static X500Name createSubject(String CN,String OU,String O,String C,String L,String ST) throws IOException {
        X500Name subject = new X500Name(new StringBuilder()
                .append("CN=").append(CN)
                .append(",OU=").append(OU)
                .append(",O=").append(O)
                .append(",C=").append(C)
                .append(",L=").append(L)
                .append(",ST=").append("abc").toString());
        return subject;
    }

对原始证书签名,并签入使用者信息,这里subject就是使用者信息,签名采用根证书私钥

public X509CertInfo createCert(String pin, InputStream is) throws Exception {

        X500Name subject = createSubject(new SignInfo(), pin);

        // 获取待签名证书
        CertificateFactory vCertFactory = CertificateFactory.getInstance("X.509");
        Certificate certificate = vCertFactory.generateCertificate(is);
        is.close();

        byte[] certData = certificate.getEncoded();
        // 设置签名证书信息:有效日期、序列号、签名者、数字签名算发
        X509CertImpl certImpl = new X509CertImpl(certData);
        X509CertInfo cert = (X509CertInfo) certImpl.get(X509CertImpl.NAME + "." + X509CertImpl.INFO);
        cert.set(X509CertInfo.VALIDITY, getCertValidity());
        cert.set(X509CertInfo.SERIAL_NUMBER, getCertSerualNumber());
        cert.set(X509CertInfo.ISSUER + "." + CertificateIssuerName.DN_NAME, cert.get(X509CertInfo.SUBJECT + "." + CertificateIssuerName.DN_NAME));
        cert.set(CertificateAlgorithmId.NAME + "." + CertificateAlgorithmId.ALGORITHM, getAlgorithm());
        cert.set(X509CertInfo.SUBJECT, subject);
        return cert;
}

 

maven 打包证书的过程中不断提示:IOException: Invalid keystore format

做以下两步操作即可解决

设置不替换的变量:p12  jks

这个p12是后缀的意思,不想让他去修改什么文件,就在这里面添加条目即可

<plugin>
     <groupId>org.apache.maven.plugins</groupId>
     <artifactId>maven-resources-plugin</artifactId>
     <configuration>
         <nonFilteredFileExtensions>
              <nonFilteredFileExtension>p12</nonFilteredFileExtension>
              <nonFilteredFileExtension>jks</nonFilteredFileExtension>
         </nonFilteredFileExtensions>
     </configuration>
</plugin>

 

这样签发的证书在linux完美通过验证,but在windows上不能通过验证,于是我们对linux和windows上的证书格式进行比较,发现windows上根证书必须要包含X509v3 Basic Constraints,CA:True

    private CertificateExtensions createCertificateExtensions2() throws IOException {
        CertificateExtensions exts = new CertificateExtensions();
        BasicConstraintsExtension bce = new BasicConstraintsExtension(true, true, -1);
        exts.set(BasicConstraintsExtension.NAME, new BasicConstraintsExtension(false, bce.getExtensionValue()));

        return exts;
    }


//对根证书签名代码增加如下一行,写入extension
 cert.set(X509CertInfo.EXTENSIONS, extensions);

 

参考
https://www.jianshu.com/p/ed6486f0e608
https://blog.csdn.net/JustinQin/article/details/100052500

https://blog.csdn.net/jxctx/article/details/45970199

 

码者人生
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
java查看已导入的证书_jdk导入证书
weixin_39752215的博客
03-02 4602
1.下载证书用IE访问目标网址,在打开的页面中,鼠标右键,属性。点击“证书”:点击“复制到文件”,在弹出的选项卡中,默认设置,点击“下一步”。输入证书文件存储路径。Ok。证书已经导出成功。2. 将证书导入jdk中keytool -import -v-trustcacerts -alias taobao -file taobao.cer -storepass changeit -keystore%J...
Java生成CSR创建证书
Jinhill's Blog
12-27 2万+
Java生成CSR,签发证书package com.jinhill.cert; import java.io.ByteArrayInputStream; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.FileWriter; import java.io.IOException; im
java配置ssl证书实现https请求,一级域名和二级域名配置https,小程序https后台的配置
2401_85112498的博客
05-25 300
2,有一台自己的服务器(阿里云腾讯云都可以)一,申请ssl证书这里以腾讯云为例,我们首先要登录自己的腾讯云服务器,然后进入ssl证书申请页。然后选择免费的ssl证书,申请即可给证书绑定域名,一个证书只能绑定一个顶级域名或者二级域名。证书申请成功二,下载ssl证书点击下载证书后,会得到一个压缩包,解压后可以看到每种服务器对应的证书,选择自己的即可。我们看下tomcat对应的文件都有什么。
java 配置ssl访问https
Dead_Cicle
04-06 3906
1、访问本机,配置证书: 默认密钥: changeit 生成证书: keytool -genkey -alias mytomcat -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore D:/keystore.p12 -validity 3650 -keypass 123456 -dname "CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=US" -storepass 123456
Java信任所有SSL证书,HTTPS请求抛错,忽略证书请求
qq_52071730的博客
02-05 2372
Java 信任所有SSL证书,HTTPS请求抛错,忽略证书请求
java 服务证书问题-生成jssecacerts CA证书
小五
11-14 522
拷贝证书文件jssecacerts到Java安装路径\jre\lib\security下并重启服务。执行成功以后在当前的目下生成 jssecacerts 文件。新建InstallCert.java文件。
Java如何跳过https的ssl证书验证详解
08-25
Java跳过HTTPS的SSL证书验证详解 本文主要介绍了Java跳过HTTPS的SSL证书验证的解决思路,并通过示例代码进行了详细的介绍,对大家的学习或者工作具有一定的参考学习价值。 一、HTTPS和HTTP的区别 HTTPS和HTTP的...
SSL.gz_ssl_ssl java_ssl证书
09-23
Java SSL证书则是Java平台对SSL协议的支持,允许Java应用程序进行安全的网络通信。 在描述中提到的“简单的SSL实现”,可能是指在Java环境中建立SSL连接的一个简化流程,这通常包括创建SSLContext,初始化...
CFCA证书环境Java安装
05-18
CFCA是一家权威的数字证书颁发机构,其SSL证书用于加密和验证网站的身份,确保数据传输的安全。在Java环境中,证书通常存储在`cacerts`信任库中,这是一个包含了各种受信任证书的密钥库。 安装CFCA证书环境的Java...
SSL证书安装.zip
10-25
- **导入证书**:将SSL证书转换为PKCS12格式,然后使用Java的`keytool`导入到Keystore中。 - **编辑server.xml**:在`Connector`元素中配置SSL,指定Keystore路径、密码和端口。 - **重启Tomcat**:修改后,重启...
Java实现SSL双向认证的方法
09-01
Java程序中,需要创建并配置SSLContext对象,加载KeyManagers和TrustManagers,这些组件分别管理私钥证书的信任策略。 5. **创建SSLSocket或SSLServerSocket**: 使用配置好的SSLContext创建SSLSocket或...
Java安全_使用JavaAPI管理证书
10-07
Java安全_使用JavaAPI管理证书
Java数字证书管理工具
ahutdbx的博客
08-25 652
java 数字证书
ssl 证书配置
ajax_beijing_java的博客
06-05 441
设置为“server.crt”文件的路径,且路径中不能包含中文字符,设置为“server.key”的路径,且路径中不能包含中文字符,方式访问您的域名,测试域名证书的安装配置,如遇到证书安装问题,请参考。开头的属性与证书配置有直接关系,其它参数请据自己的实际情况修改。例如“cert/server.crt”。例如“cert/server.key”。SSL访问端口号,设置为“443”。证书文件“server.crt”。私钥文件“server.key”。设置为“on”,启用SSL功能。请参考以下步骤进行配置。
JAVAEE—HTTPS和ssl证书
m0_72433000的博客
04-25 1154
HTTPS 也是一个应用层协议. 是在 HTTP 协议的基础上引入了一个加密层.HTTP 协议内容都是按照文本的方式明文传输的. 这就导致在传输过程中出现一些被篡改的情况而HTTPS则是新采用加密的方式进行传输首先什么是对称密钥呢?我们还是以上面为列,慈溪太后在拿到这张内容的时候要用破洞的纸对信的内容做解密,那么传给他这封信的那个人,在写下这个内容的时候是不是也需要用这张破洞的纸把自己想要写的内容写在这个洞对应的位置下啊?
Java实现通过证书访问Https请求
热门推荐
王绍桦
01-29 3万+
创建证书管理器类 import java.io.FileInputStream; import java.security.KeyStore; import java.security.cert.CertificateException; import java.security.cert.X509Certificate; import javax.net.ssl.TrustManager;...
java认证与证书
wbo
12-04 3235
目前主要有JKS和PEM两种编码格式文件。如何在这两种密钥库文件中进行库文件交换呢?可以通过格式的证书文件在两种格式的密钥库中进行库文件导出/导入等。通常使用编码格式作为数字证书文件存储格式。自签名证书,即证书申请者为自己的证书签名。数字证书的颁发流程简述过程如下:1、客户端请求服务器的流程如下:客户端请求服务器将按如下步骤进行:2、服务器端完成客户端请求处理后,需经过以下几个步骤完成响应:KeyTool是Java中的数字证书管理工具,用于数字证书的申请、导入、导出和撤销等证书管理操作。官方文档https:
java 解决sun.security.validator.ValidatorException: PKIX path building failed证书 问题
asfsdf23的博客
08-19 837
java 解决sun.security.validator.ValidatorException: PKIX path building failed证书 问题 public class SslUtils { private static void trustAllHttpsCertificates() throws Exception { TrustManager[] trustAllCerts = new TrustManager[1]; TrustManager tm = new m
JAVA自动下载SSL证书并导入到本地
看!有只程序猿!
08-22 1558
前言 基于https的访问很多情况下是需要证书认证。 解决办法不外乎几个。 忽略SSL证书 导入ssl证书 在这里我贴出一个自己写的证书导入工具类,复制粘贴即可用。 逻辑 发起请求之前先检查证书是否已经存在硬盘并导入到系统,如果没有,那么主动下载并导入到系统。 代码片段 URL urlnormal = new URL(fullUrl); //加载证书 if(urlnormal.getProtocol().equals("https")){ String sslpath = FileUtil.getCe
java绕过ssl证书
最新发布
06-08
Java中,SSL(Secure Sockets Layer)和其后续版本TLS(Transport Layer Security)是用于加密网络通信的协议,确保数据传输的安全性。如果遇到需要绕过SSL证书的情况,通常是为了测试或特定的安全环境处理,这不是一个常规做法,因为绕过证书验证可能会导致数据不安全,违反隐私和法规。 有几种非标准情况下的绕过方法,但这些应该仅限于严格控制的测试环境中: 1. 使用不受信任的SSLContext:可以创建一个自定义的SSLContext,其中的信任管理器会忽略所有证书验证。这通常在测试工具如Junit、Selenium等中使用`TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() {...}};`

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码者人生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值