Spring实现HTTPS双向认证

最新推荐文章于 2024-07-20 16:07:33 发布
最新推荐文章于 2024-07-20 16:07:33 发布
阅读量1.7k 收藏 14
点赞数 3
分类专栏: 后端开发问题解决集合 文章标签: java spring boot https http spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/staba/article/details/128019512
版权

目录

前言

一、单向认证和双向认证

二、创建keyStore和trustStore

三、服务端配置

四、客户端配置 

总结

参考链接

前言

本篇博客讲的主要是双向认证,通过一些简单案例来展示双向认证的配置过程。有关单向认证和一些https配置,可以看看我的这篇博客,只有了解清楚单向认证之后,那么双向认证理解更加简单,因为双向认证基于单向认证配置,所以建议在做https双向认证之前,先把https单向认证搞清楚:

Spring实现HTTPS方式访问服务(单向认证)_明天再去学习的博客-CSDN博客

 

一、单向认证和双向认证

1、单向认证

单向认证十分简单,就是在服务端配置证书,客户端在向服务端发送请求时,服务端会发送一份自己的证书,由客户端进行验证,只要客户端通过验证,那么就能建立https链接。

2、双向认证

双向认证相比于单向认证多了一个步骤,那就是客户端发送请求时校验服务端的证书的同时,客户端也需要发送一份自己的证书给服务端进行校验,只有双方的证书在对方那里校验通过之后,才能建立起https链接。

二、创建keyStore和trustStore

1、keyStore与trustStore的作用

keyStore:

  • keyStore是一个可以存储密钥、密钥对或证书的存储库。密钥:只有一个钥,一般是对称加密时使用;密钥对:包含公钥和私钥,一般是非对称加密时使用。
  • keyStore文件的类型可以是JSK、PKCS12、JCEKS。JSK(Java Key Store)可以存储密钥对和证书;PKCS12、JCEKS都可以存储密钥、密钥对、证书。
  • 在创建keyStore文件时,可以为keyStore设置密码。
  • 密钥、密钥对、证书在keyStore统称为key,每一个key通过alias(别名)区分。key也可以设置密码(具体体现在keytool创建keyStore和trustStore时),keyStore可以存储多对key。
  • 通过keytool成功往一个keyStore文件添加密钥对后,可以从该keyStore中获取到私钥、证书以及公钥(公钥主要以证书的形式存放)。

trustStore:

  •  trustStore中保存的是一些可信任的证书
  • trustStore文件的类型可以是JSK、PKCS12、JCEKS。JSK(Java Key Store)可以存储密钥对和证书;PKCS12、JCEKS都可以存储密钥、密钥对、证书。

2、创建服务端keyStore和客户端trustStore(以下指令均在控制台执行)

注意:由于只是本地简单配置双向认证,涉及到的证书将由工具keytool生成,真正生产环境下的证书,将有认证过的CA机构去生成。

创建服务端keyStore

keytool -genkey -alias serverkey -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore serverkeystore.p12 -storepass 123456 -ext san=ip:127.0.0.1,dns:localhost

导出服务端证书

keytool -exportcert -keystore serverkeystore.p12 -alias serverkey -storepass 123456 -rfc -file server-certificate.pem

将服务端证书添加到客户端trustStore中 

keytool -import -trustcacerts -file server-certificate.pem -keypass 123456 -storepass 123456 -keystore clienttruststore.jks

3、创建客户端keyStore和服务端trustStore 

 创建客户端keyStore

keytool -genkey -alias client -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore clientKeystore.p12 -storepass 123456 -ext san=ip:127.0.0.1

导出客户端证书

keytool -exportcert -keystore clientKeystore.p12 -alias client -storepass 123456 -rfc -file client-certificate.pem

将客户端证书添加到服务端trustStore中 

keytool -import -trustcacerts -file client-certificate.pem -keypass 123456 -storepass 123456 -keystore serverTruststore.jks

4、生成结果

 

在后续实践中,我们需要用到的是 serverKeyStore、serverTrustStore、clientKeyStore、clientTrustStore

 

三、服务端配置

1、将serverKeyStore、serverTrustStore存放在resource目录下

2、application.yml配置如下

server:
  port: 7050
  ssl:
    key-store: classpath:serverKeyStore.p12
    key-store-password: 123456
    key-store-type: PKCS12
    key-alias: serverKey
    client-auth: need
    trust-store: classpath:serverTrustStore.jks
    trust-store-password: 123456
    trust-store-type: JKS
  • key-store:用于指定你的keyStrore文件
  • key-store-type:指定你的文件的类型,在上面说过,keyStore的类型可以是JKS、PKCS12、JCEKS
  • key-store-password:就是你在通过keytool创建keyStore时指定的密码
  • key-alias: 指定使用哪一个key
  • client-auth:开启客户端验证,即需要验证客户端证书,服务端开启双向认证的开关
  • trust-store:用于指定你的trustStrore(信任库)文件,客户端证书校验将在此处进行
  • trust-store-type:指定你的文件的类型,在上面说过,trustStore的类型可以是JKS、PKCS12、JCEKS
  • trust-store-password:就是你在通过keytool创建trustStore时指定的密码

至此,服务端https双向认证配置到此处结束,接下来是客户端的配置

 

四、客户端配置 

1、将clientKeyStore、clientTrustStore存放在resource目录下:

 

2、导入以下依赖:

<dependency>
    <groupId>org.apache.httpcomponents</groupId>
    <artifactId>httpclient</artifactId>
    <version>4.5.6</version>
</dependency>

 

3、进行RestTemplate配置:

@Slf4j
@Configuration
public class RestTemplateConfig {

    @Bean
    public RestTemplate restTemplate(ClientHttpRequestFactory httpComponentsClientHttpRequestFactory) {
        RestTemplate restTemplate = new RestTemplate(httpComponentsClientHttpRequestFactory);
        restTemplate.getMessageConverters().set(1, new StringHttpMessageConverter(StandardCharsets.UTF_8));
        return restTemplate;
    }

    @Bean("httpComponentsClientHttpRequestFactory")
    public ClientHttpRequestFactory httpComponentsClientHttpRequestFactory() throws IOException, UnrecoverableKeyException, CertificateException, NoSuchAlgorithmException, KeyStoreException, KeyManagementException {
        final String allPassword = "123456";
        TrustStrategy acceptingTrustStrategy = (X509Certificate[] chain, String authType) -> true;
        SSLContext sslContext = SSLContextBuilder
                .create()
                .loadKeyMaterial(new ClassPathResource("clientKeystore.p12").getURL(),
                        allPassword.toCharArray(), allPassword.toCharArray())
                .loadTrustMaterial(new ClassPathResource("clientTruststore.jks").getURL(), allPassword.toCharArray())
                .loadTrustMaterial(null, acceptingTrustStrategy)
                .build();
        HttpClient client = HttpClients.custom()
                .setSSLContext(sslContext)
                .build();
        HttpComponentsClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory(client);
        // INSTANCE 忽略域名检查,证书中的域名与请求的域名不匹配时,验证通过, 不建议开启该功能,因为存在安全问题
       /*SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(sslContext, NoopHostnameVerifier.INSTANCE);
        CloseableHttpClient httpclient = HttpClients
                .custom()
                .setSSLSocketFactory(sslConnectionSocketFactory)
                .setSSLHostnameVerifier(new NoopHostnameVerifier())
                .build();
        requestFactory.setHttpClient(httpclient);*/
        return requestFactory;
    }

}

 4、通过RestTempate进行接口调用,客户端能够与开启双向认证后的服务端进行连接访问。

至此,客户端的配置也完成了 。

总结

双向配置的精髓就是,客户端也需要配置自己的证书,在发送请求的同时,将自己的证书发送给服务端,让服务端去验证证书,所以,搞清楚双向认证配置之前,一定要先弄清楚单向认证配置,以达事半功倍。

参考链接

一文读懂Https的安全性原理、数字证书、单项认证、双项认证等 - 知乎

百度安全验证 

 

明天再去学习
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
https双向认证
weixin_46078854的博客
11-12 1328
1.浏览器添加.p12客户端证书和CA证书 生成.p12证书:openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12 2.nginx配置:(#内容为开启https) nginx.conf中http块:include /usr/local/nginx/conf.d/*.conf; conf.d文件夹下*.conf: server { listen 89; #listen...
SpringBoot服务间使用自签名证书实现https双向认证
抛洒的阳光专栏
05-21 1656
以服务server-one和server-two之间使用RestTemplate调用为例 一、生成密钥 需要生成server-one和server-two的客户端密钥和一个信任库密钥 1、生成TrustStore(信任库) keytool -genkey -alias trustkeys -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore trustKeys.p12 -validity 36500 2、生成server-one客户端密钥 keyto
Https单向认证双向认证
热门推荐
duanbokan的专栏
03-10 11万+
HTTPS双向认证过程
【转】HTTPS双向认证指南
最新发布
tpriwwq的专栏
07-20 640
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。
Nginx配置https双向认证
happyzhang的Blog
11-20 1万+
1.      前期的准备工作: 安装openssl和nginx的https模块 cd  ~/ mkdir ssl cd ssl mkdir demoCA cd demoCA mkdir newcerts mkdir private touch index.txt echo '01' > serial 2.      制作CA证书(这个是信任的起点,根证书,所有其他的证书都要
【开源】hotssl-spring-boot-starter 实现Https双向认证 + 证书热加载
mzh1994s的博客
10-18 864
SpringBoot 实现Https双向认证 + 证书热加载 实现原理 使用自定义javax.net.ssl.X509TrustManager,自定义证书验证逻辑,实现从数据库加载证书、文件加载证书、缓存加载证书等。 添加maven依赖 <dependency> <groupId>org.springframework.boot</groupId> &l...
SpringBoot https双向认证实现证书热加载
mzh1994s的博客
10-11 1981
SpringBoot 实现SSL证书热加载外置Tomcat实现请转移到此处(本文也是受此文章启发)SpringBoot方式前言缺点结尾 外置Tomcat实现请转移到此处(本文也是受此文章启发) https://blog.csdn.net/u012613903/article/details/53608331 SpringBoot方式 前言 公司做的是金融服务,需要为第三方提供Http接口服务,但由...
springboot项目开启ssl双向认证实现相互访问通信 (服务端+客户端)Demo
03-05
本demo实现SSL双重认证通信demo springboot项目开启ssl双向认证实现相互访问通信 (服务端+客户端)Demo 配合文章:https://blog.csdn.net/YnagLei/article/details/136489122 配套使用。
JAX-RS RESTful webservice 服务端及客户端实现(基于HTTPS双向认证)
学习记录和开发记录
10-18 5910
在ApacheCXF的Sample里以及网上很多有关RESTful HTTPS双向认证的文章介绍仅仅是理论,没有涉及实际环境的实现(客户端和服务端都是localhost);这几天使用Apache的CXF以及 Apache portable HttpClient实现跨IP的JAXRS HTTPS双向认证实现。 在实践中发现tomcat版本7.0.70和7.0.68在TLS/SSL支持上也存在差异。
https双向认证证书配置详解
11-02
针对网上不同作者写的有用cer有的是crt,有的用pem,有的用key所以容易被绕晕所以自己整理了一下 希望对刚接触证书以及需要配置双向认证的人有帮助,内含的ssl双向证书认证,如何为tomcat配置https单、双向请求认证,以及有关证书配置的详解!整理的可能不是很好,忘多多包涵!涉及的东西还是比较多的 需要自己多看看 理解理解!
HTTPS双向认证
SecularBird的专栏
09-11 794
双向认证,指的是客户端和服务器端都需要验证对方的身份,在建立HTTPS连接的过程中,握手的流程相对于单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。
https 单向认证双向认证
茅坤宝骏氹的博客
06-10 2957
转载自   https 单向认证双向认证 一、Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80 二、Https Hyper Text Transfer Protocol ov...
HTTPS双向认证指南(亲测可行)
springdk2009的博客
03-17 2350
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。实现这个场景需要以下几步:生成根公钥证书和私钥文件(root.crt/root.key);使用根证书和根证书私钥(root.crt/root.key)配合服务器端私钥颁发服务器端证书(server.crt);使用根证书和根证书私钥(root.crt/root.key)配合客户端私钥颁发客户端证书(server.crt);
springboot整合https实现双向认证
flyfun123的博客
09-08 1558
从创建证书到具体调用,亲手验证过了
https 双向认证开发实践
森林里的一天
11-30 1万+
https双向认证 证书如何使用 概念介绍 1.https协议介绍 与http协议的区别 https协议简单来说就是http协议的基础上增加了SSL协议 ,从而来保证数据传输的安全性。 SSL协议: SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输
Spring Security实现身份认证
04-17
Spring Security是一个功能强大的身份认证和授权框架,它可以帮助我们在Spring应用程序中实现安全性。下面是Spring Security实现身份认证的一般步骤: 1. 添加Spring Security依赖:在项目的构建文件中添加Spring ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值