【引言】
在上篇博客中,了解了关于SSL的很多理论,本篇博客主要是总结下基于Spring Boot实现HTTPS方式请求下客户端与服务端进行单向认证与双向认证的实例搭建。
有了上一篇博客的认识,对于SSL的流程已经很清楚了。使用HTTPS,通常情况下,是客户端需要校验服务端,也就是一个单向认证的过程。同时,服务端也可以校验客户端,从而达到客户端与服务端双向认证的目的。
【证书生成】
在项目搭建前,我们先使用JDK下的KeyTool工具生成服务端证书和客户端证书,在后面的代码中需要用到。下面是生成证书步骤,在JDK安装目录下的JRE目录下的bin文件夹下执行命令即可:
- Server端证书生成步骤
-
生成服务端sslServer.p12文件
keytool -genkey -v -alias sslServer -keyalg RSA -storetype PKCS12 -keystore E:\learning-demo\sslServer.p12 -
导出服务端公钥sslServer.cer 文件
keytool -keystore E:\learning-demo\sslServer.p12 -export -alias sslServer -file E:\learning-demo\sslServer.cer
如上图,则表明服务端证书生成成功。在生成过程中,需要注意的一点是,第一步中“您的名字与姓氏是什么”应该填服务器的ip或对应系统的域名,这样在后面代码中校验证书就能直接通过,若填写的不一致,则需要在代码中默认允许校验自己通过。
按照以上方法,同样,生成客户端证书:
- Client端证书生成步骤(双向认证需要操作此步骤)
-
生成客户端sslClient.p12文件
keytool -genkey -v -alias sslClient -keyalg RSA -storetype PKCS12 -keystore E:\learning-demo\sslClient.p12 -
导出客户端公钥sslClient.cer 文件
keytool -keystore E:\learning-demo\sslClient.p12 -export -alias sslClient -file E:\learning-demo\sslClient.cer
- 将Client端和Server端的公钥文件(.cer文件)导入双方系统的jre运行环境的cacerts证书库(双向认证需要操作此步骤)
-
将客户端公钥导入的服务端jdk信任库
keytool -import -alias sslClient -file E:\learning-demo\sslClient.cer -keystore D:\jdk\jre\lib\security\cacerts –v -
将服务端公钥导入到客户端的jdk信任库
keytool -import -alias sslServer -file E:\learning-demo\sslServer.cer -keystore D:\jdk\jre\lib\security\cacerts –v -
将客户端公钥导入到服务端Server.p12证书库
keytool -import -alias sslClient -v -file E:\learning-demo\sslClient.cer -keystore D:\jdk\sslServer.p12
【实例搭建】
新建springboot-https项目,包含springboot-https-server(服务端)和springboot-https-client(客户端)两个模块。
- 单向认证
搭建好springboot-https-server模块后,在application.properties配置文件下,添加以下内容,则可在服务端开启SSL认证,证书放在resource目录下即可:
# 单向认证开启(客户端校验服务端证书即可)
server.port=7090
server.address=127.0.0.1
server.ssl.key-store=classpath:sslServer.p12
server.ssl.key-store-password=123456
server.ssl.key-alias=sslServer
server.ssl.keyStoreType=JKS
对外提供一个接口,测试是否开启成功:
@RestController
@RequestMapping("/server")
public class ServerController {
@RequestMapping("/ssl")
public String getUrlInfo() {
return "************request https success************";
}
}
我们在浏览器直接访问https://127.0.0.1:7090/server/ssl这一接口,浏览器会提示:
则表明单向认证开启成功。
- 双向认证
双向认证,首先需要在服务端中加以下配置,表示服务端需要校验客户端:
# 开启双向认证(客户端与服务端互相校验)
server.ssl.trust-store-password=123456
server.ssl.client-auth=need
server.ssl.trust-store-type=JKS
server.ssl.trust-store-provider=SUN
客户端测试代码:
private final static String TEST_URL = "https://127.0.0.1:7090/server/ssl";
@Test
public void getHKVesselTrip() throws Exception {
// 客户端证书类型
KeyStore clientStore = KeyStore.getInstance("PKCS12");
// 加载客户端证书,即自己的私钥
clientStore
.load(new FileInputStream("E:\\learning-demo\\sslClient.p12"),
"123456".toCharArray());
// 创建密钥管理工厂实例
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
// 初始化客户端密钥库
kmf.init(clientStore, "123456".toCharArray());
KeyManager[] kms = kmf.getKeyManagers();
// 创建信任库管理工厂实例
TrustManagerFactory tmf = TrustManagerFactory
.getInstance(TrustManagerFactory.getDefaultAlgorithm());
// 信任库类型
KeyStore trustStore = KeyStore.getInstance("JKS");
// 加载信任库,即服务端公钥
trustStore.load(new FileInputStream("D:\\jdk\\jre\\lib\\security\\cacerts"),
"changeit".toCharArray());
// 初始化信任库
tmf.init(trustStore);
TrustManager[] tms = tmf.getTrustManagers();
// 建立TLS连接
SSLContext sslContext = SSLContext.getInstance("TLS");
// 初始化SSLContext
sslContext.init(kms, tms, new SecureRandom());
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext,
SSLConnectionSocketFactory.BROWSER_COMPATIBLE_HOSTNAME_VERIFIER);
CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslsf).build();
try {
HttpGet httpget = new HttpGet(TEST_URL);
System.out.println("executing request" + httpget.getRequestLine());
CloseableHttpResponse response = httpclient.execute(httpget);
try {
HttpEntity entity = response.getEntity();
if (entity != null) {
System.out.println(EntityUtils.toString(entity));
}
} finally {
response.close();
}
} finally {
httpclient.close();
}
}
仔细读代码,会发现也就是上篇博客中核心类的内容,如何建立SSLContext连接,其中KeyStore和TrustStore如何创建,都有涉及。
项目实例代码已上传github,地址:https://github.com/huzhiting/springboot-https
【总结】
在进行双向认证的过程中,很容易出现校验不通过的情况,还是需要具体问题具体分析。
HTTPClient方式调用尝试很多次不能校验通过的情况下,可以换成HTTPURLConnection试试,毕竟HttpURLConnection是java的标准类。