java SSLContext创建

最新推荐文章于 2024-09-11 16:04:38 发布
最新推荐文章于 2024-09-11 16:04:38 发布
阅读量9.7k 收藏 37
点赞数 10
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuxiaohua/article/details/118463065
版权

概述

HTTPS相对于HTTP多了SSL(security sock layer),应用层将数据丢给TCP时,需要经过SSL层的加密处理;TCP层的数据丢给应用层时,需要经过SSL层的解密处理。因此网络中传输的都是加密后的数据,提高的通信的安全性。
在这里插入图片描述
HTTPS除了拥有传输加密的功能,还提供身份认证,防止对端伪造身份。这个是通过HTTPS证书实现。

  • 注下图中对HTTPS握手过程进行简化,握手过程的关键步骤就是证书校验及对称加密秘钥的协商,另外客户端证书的校验是可选的。
    在这里插入图片描述

问题

标准证书都是第三方机构颁发的,需要付费找第三方机构申请。有些出于节省成本或者省事的目的,一般会使用工具生成自签名的证书。浏览器访问这种自签名证书的网址时就会弹出不安全的提示,如果是java代码访问这种网址时就会抛出异常。
解决这种问题有2个途径,一种是忽略证书认证,另一种就是将自签名的证书添加到受信证书库中。

SSLContext关键参数说明

SSLContext都是通过SSLContext.getInstance(String protocol)方法获取,获取后需要调用init方法初始化。init方法签名如下:
public final void init(KeyManager[] km, TrustManager[] tm,SecureRandom random)

  • KeyManager
    用于HTTPS双向认证时,客户端向服务端发送的认证信息(证书);与不同的服务端交互时,客户端可能用不同的身份(证书),所以需要KeyManager进行管理。
    如果只是单向认证,KeyManager[]可以为空
  • TrustManager
    用于客户端检测服务端发送过来的证书。

KeyStore:只是单纯的存储证书、秘钥数据,不包含任何逻辑。TrustManager,KeyManager可以使用KeyStore得到证书列表进行相应的业务处理。

忽略证书认证

有些语言比如Python是可以修改全局配置去忽略证书检查,但是Java好像没有提供这种功能,所以需要覆写证书认证的类X509TrustManager 。
忽略证书认证后,双方通信的时候仍然是加密的,只是无法对服务端的身份进行认证,有服务端伪造的风险。如果都是在内网,可以采用这种简洁的手法。

public SSLContext buildSSLContext() throws Exception {
    X509TrustManager x509TrustManager = new X509TrustManager() {
        @Override
        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }
        @Override
        public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }
        @Override
        public X509Certificate[] getAcceptedIssuers() {
            return new X509Certificate[0];
        }
    };
    SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
    sslContext.init((KeyManager[]) null, new X509TrustManager[] {x509TrustManager}, (SecureRandom) null);
    return sslContext;
}

将自签名证书放到受信证书库

将证书直接导入到JDK的证书库

待续

通过编码的方式将证书放到受信证书列表中
@Override
public SSLContext buildSSLContext() throws Exception {
    KeyStore keyStore = buildKeyStore();
    TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    tmf.init(keyStore);
    SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
    sslContext.init((KeyManager[]) null, tmf.getTrustManagers(), (SecureRandom) null);
    return sslContext;
}

private KeyStore buildKeyStore() throws Exception {
    // 获取自签名的证书
    List<X509Certificate> certs = loadHttpsCerts();
    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
    keyStore.load(null, null);
    TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
            TrustManagerFactory.getDefaultAlgorithm());
    trustManagerFactory.init((KeyStore) null);
    // 获得jdk证书库中的证书
    Arrays.stream(trustManagerFactory.getTrustManagers())
            .filter(manager -> manager instanceof X509TrustManager)
            .findFirst()
            .ifPresent(manager -> {
                List<X509Certificate> jdkCerts = Arrays.asList(((X509TrustManager) manager).getAcceptedIssuers());
                certs.addAll(jdkCerts);
            });
    certs.stream().forEach(cert -> {
            keyStore.setCertificateEntry(cert.getSubjectDN().getName(), cert);
    });
    return keyStore;
}

private List<X509Certificate> loadHttpsCerts() throws IOException, CertificateException {
    List<X509Certificate> certs = new ArrayList<>(32);
    PathMatchingResourcePatternResolver resolver = new PathMatchingResourcePatternResolver();
    Resource[] resources = resolver.getResources(HTTPS_CERTS_PATH);
    for (Resource resource : resources) {
        InputStream inStream = resource.getInputStream();
        CertificateFactory factory = CertificateFactory.getInstance("X.509");
        X509Certificate cert = (X509Certificate) factory.generateCertificate(inStream);
        certs.add(cert);
    }
    return certs; 
}
shuxiaohua
关注
专栏目录
Java进阶(三)Java安全通信:HTTPS与SSL_sslcontext(1)
2401_84411822的博客
04-28 883
庆幸的是,Java提供相对简单的被称为keytool的命令行工具,可以简单地产生“自己签名”的证书。1)按照以上信任管理器的规则,将服务端的公钥导入到jssecacerts,或者是在系统属性中设置要加载的trustStore文件的路径;3)若jssecacerts不存在,但是cacerts存在(它随J2SDK一起发行,含有数量有限的可信任的基本证书),那么这个默认的TrustStore文件就是lib/security/cacerts。在此命令中,keytool是JDK自带的产生证书的工具。
sslcontext java_java SSLContext
weixin_30569303的博客
02-16 1489
1. 什么是SSLSocketJDK文档指出,SSLSocket扩展Socket并提供使用SSL或TLS协议的安全套接字。这种套接字是正常的流套接字,但是它们在基础网络传输协议(如TCP)上添加了安全保护层。具体安全方面的讨论见下一篇。本篇重点关注SSLSocket及相关几个类的使用。2. SSLSocket和相关类SSLSocket来自jsse(JavaSecure Socket Extensi...
Java如何跳过https的ssl证书验证详解
08-25
主要介绍了Java跳过https的ssl证书验证的解决思路,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,下面我们来深入学习下吧
Java进阶(三)Java安全通信:HTTPS与SSL_sslcontext
最新发布
2401_86951255的博客
09-11 1047
然后,可以根据需要客户化(自己设置)特定的属性。实际上,认证权威单位会担保它发出的认证书的真实性,如果你信任发出认证书的认证权威单位的话,你就可以相信这个认证书是有效的。3)若jssecacerts不存在,但是cacerts存在(它随J2SDK一起发行,含有数量有限的可信任的基本证书),那么这个默认的TrustStore文件就是lib/security/cacerts。⑧SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。
Java SSLSocket的使用
chen_410063005的专栏
12-20 2170
1. 什么是SSLSocket JDK文档指出,SSLSocket扩展Socket并提供使用SSL或TLS协议的安全套接字。 这种套接字是正常的流套接字,但是它们在基础网络传输协议(如TCP)上添加了安全保护层。 具体安全方面的讨论见下一篇。本篇重点关注SSLSocket及相关几个类的使用。   2. SSLSocket和相关类 SSLSocket来自jsse(Java Secure ...
java 根据keystore和truststore创建SSLContext
QAQ_666666的博客
08-12 1052
package com.lz.util; import com.acclivity.phimail.model.MyClientConfig; import javax.net.ssl.*; import java.io.File; import java.io.FileInputStream; import java.security.KeyStore; import java.security.cert.X509Certificate; public class SSLContextUtil {.
Java安全教程-创建SSL连接和证书Java开发Jav
11-23
6. **建立SSL连接**:使用sslContext创建SSLSocketFactory,然后用它来创建和配置Socket。 ```java SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory(); SSLSocket sslSocket = (SSLSocket) ...
Java如何创建一个SSLContext来忽略证书验证
06-03
Java创建一个忽略证书验证的SSLContext需要使用到Java标准库中的javax.net.ssl.SSLContext类。具体步骤如下: 1. 导入javax.net.ssl.SSLContext类和java.security.SecureRandom类: ```java import javax.net....
SSL.rar_JAVA SSL _ssl_ssl java
09-24
2. 初始化SSLContext:使用KeyManagerFactory创建KeyManager实例,然后与TrustManagerFactory创建的TrustManager一起,用于初始化SSLContext对象。 3. 创建SSLEngine:SSLContext的createSSLEngine方法用于创建...
服务器客户端证书,使用服务器和客户端证书以及私钥创建SSLContext
weixin_33343681的博客
07-29 1266
我正在编写Android应用程序。它通过TLS连接到服务器。我从服务器作者那里收到了3个文件供使用(以检查通信,以后将生成密钥):-服务器证书(cacrt.crt)-客户端证书(clientcrt.crt)-客户端私钥(clientkey.key)我正在尝试使用这些键创建SSLContext,但遇到一些问题。我无法以.crt和.key文件的格式加载它们,因此我将它们转换为BKS格式(client....
Web前端最全Java进阶(三)Java安全通信:HTTPS与SSL_sslcontext,web前端设计与开发
2401_84446787的博客
05-08 763
秋招即将开始,校招的朋友普遍是缺少项目经历的,所以底层逻辑,基础知识要掌握好!而一般的社招,更是神仙打架。特别强调,项目经历不可忽视;几乎简历上提到的项目都会被刨根问底,所以项目应用的技术要熟练,底层原理必须清楚。这里给大家提供一份汇集各大厂面试高频核心考点前端学习资料。涵盖HTML,CSS,JavaScript,HTTP,TCP协议,浏览器,Vue框架,算法等高频考点238道(含答案)!开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】高级前端工程师必备资料包。
java sslcontext,使用java从本地存储中获取SSL证书到sslContext对象
weixin_35327395的博客
02-12 1027
I need to perform a rest call by attaching the local ssl certificate.I do not have any info about KeyStore. I just know there is a Certificate installed in my PC and I have to use the certificate base...
ssl认证、证书】java中的ssl语法API说明(SSLContext)、与keytool 工具的联系
m0_45406092的博客
04-04 3957
java中,我们经常需要使用SSL/TLS连接,这种连接是加密连接,https之类的基于TCP/IP协议的应用层协议加密传输,也经常基于这种加密连接,这种连接jdk底层已经提供了默认的实现,并且是基于jdk中的keystroe证书库实现的认证。默认的SocketFactory实现ssl连接时,是基于这个默认的证书库的实现,因此当遇到证书库中不存在的证书时,就会出现ssl连接异常的问题。或者将不信任的证书安装到中解决问题。
Java中用HttpsURLConnection访问Https链接的问题
清风徐来,水波不兴--郭见伟的blog
08-14 965
在web应用交互过程中,有很多场景需要保证通信数据的安全;在前面也有好多篇文章介绍了在Web Service调用过程中用WS-Security来保证接口交互过程的安全性,值得注意的是,该种方式基于的传输协议仍然是Http,采用这种方式可扩展性和数据交互效率比较高;另外一种实现方式
java SSL
everyok的博客
09-25 2919
加密方式 加密方式 优缺点 对称加密 加密效率高,密钥在网络中传输不安全 非对称加密 加密效率低,安全性高,公钥可以在网络中传输 数字签名 防止抵赖,能够检查签名之后内容是否有更改。通过单向散列算法对内容进行求值,相当于对内容进行提取了指纹。 CA 证书颁发机构(相当于所有人都信任的一个中间机构),CA机构也有自已的公钥与私钥。cl...
SSL连接的JAVA实现
05-25 2697
SSL的双向认证的流程如下图: 从以上流程可见,要完成双向认证,服务器端和客户端都需要验证对方的证书,然后再进行加密的协商。这里基于JAVA来实现一个服务器端和客户端的程序,可以实现双向认证。 首先需要准备服务器和客户端的相关证书: 1. 创建自签名的根密钥 openssl genrsa -out rootkey.pem 2048 2. 生成根证书 openssl req -x509 -new -key rootkey.pem -out root.crt -subj="/C=CN/ST=GD
[5]AMQP(高级消息队列协议) ----如何创建自己的SSLContext对象
超越梦想,一起飞!!!
07-03 2419
在[4]AMQP(高级消息队列协议) ----改造QPID JMS-0.9 API 对 SSLContext的 支持(http://blog.csdn.net/chancein007/article/category/6294435)的一文中,提到了如何让QPID JMS 0.9 Java对自定义的SSLContext的支持,那么该如何测试呢?其实测试的核心就是如何创建SSLContext对象。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值