自签名证书实现 java服务 <->nginx HTTPS 双向认证

最新推荐文章于 2022-06-01 13:54:30 发布
最新推荐文章于 2022-06-01 13:54:30 发布
阅读量344 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014551778/article/details/115469496
版权
本文详细介绍了如何生成自签名的SSL证书,并在Java和Nginx环境中进行配置。首先,利用OpenSSL命令创建了根证书和客户端/服务器证书,接着在Nginx配置中启用SSL,设置证书验证。然后,展示了Java中如何加载和验证SSL证书,最后提到了证书导入浏览器和Maven处理证书的注意事项。
摘要由CSDN通过智能技术生成

生成证书

C="CN"
ST="Zhejiang"
L="HanZhou"
O="Alibaba"
OU="Nginx"
CN="11.22.33.44"
CN_CLIENT="MicroService"
emailAddress="abc@edf.com"
PASSWD="password"
JKS_PASSWD="password"

rm -rf temp
mkdir temp
cd temp/
mkdir -p demoCA/newcerts
touch demoCA/index.txt
touch demoCA/serial
echo 01 >> demoCA/serial

# 生成自签名根证书 ca key 
openssl genrsa -aes128 -passout pass:${PASSWD} -out ca.key 2048
# ca crt(pem) der
openssl req -new -passin pass:${PASSWD}  -x509 -key ca.key -out ca.crt -days 3650 -subj "/C=${C}/ST=${ST}/L=${L}/O=${O}/OU=${OU}/CN=${CN}/emailAddress=${emailAddress}"
openssl x509 -in ca.crt -outform DER -out ca.der
openssl x509 -inform der -in ca.der -out ca.pem

# server key
# openssl genrsa -aes128 -passout pass:${PASSWD} -out serverKey.pem 2048
openssl genrsa -out serverx.key 2048
# server req
#openssl req -new -passin pass:${PASSWD}  -key serverKey.pem -out serverReq.pem -subj  "/C=${C}/ST=${ST}/L=${L}/O=${O}/OU=${OU}/CN=${CN}/emailAddress=${emailAddress}"
openssl req -new -key serverx.key -out serverReq.pem -subj  "/C=${C}/ST=${ST}/L=${L}/O=${O}/OU=${OU}/CN=${CN}/emailAddress=${emailAddress}"
# server cert
openssl ca -md sha256 -key ${PASSWD} -batch -keyfile ca.key -cert ca.crt -in serverReq.pem -out serverCrt.pem -days 3650
rm serverReq.pem 

# client key
openssl genrsa -aes128 -passout pass:${PASSWD} -out clientKey.pem 2048
# client req
openssl req -new -passin pass:${PASSWD}  -key clientKey.pem -out clientReq.pem -subj  "/C=${C}/ST=${ST}/L=${L}/O=${O}/OU=${OU}/CN=${CN_CLIENT}/emailAddress=${emailAddress}"
# client cert
openssl ca -md sha256 -key ${PASSWD} -batch -keyfile ca.key -cert ca.crt -in clientReq.pem -out clientCert.pem -days 3650
rm clientReq.pem 

# 所有证书,私钥等都可以是 pem, 也可以是 der 格式, 可以转化
# openssl x509 -in ca.crt -outform DER -out ca.der  # pem -> der
# openssl x509 -inform der -in ca.der -out ca.pem   # der -> pem

# 假如要取消某个证书openssl
# openssl ca -keyfile ca.key -cert ca.crt -revoke clientCert.pem

# jks
# keyStore for client 客户端会给自己的公钥证书给服务端,服务端判断这个证书是不是自己的信任链上的
openssl pkcs12 -export -out slb_sslclient.p12 -in clientCert.pem -inkey clientKey.pem
keytool -importkeystore -srckeystore slb_sslclient.p12 -srcstoretype PKCS12 -deststoretype  JKS -destkeystore keystore.jks

# trustStore for client 服务端给自己的公钥证书给客户端,客户端判断这个证书是不是自己的信用链上的
keytool -import -trustcacerts -file ca.crt -keystore truststore.jks -storepass ${JKS_PASSWD}

nginx配置

	# HTTPS server
    #
    server {
		listen       8443 ssl;
        server_name  localhost;

        ssl_certificate     ./nginx/conf/ssl/servercrt.pem;
        ssl_certificate_key   ./nginx/conf/ssl/servercrt.key;
		ssl_client_certificate  ./nginx/conf/ssl/ca.crt;
		ssl_verify_client on;

		ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256";
		ssl_prefer_server_ciphers on;
		ssl_session_cache shared:SSL:10m; 
		ssl_session_timeout 10m;

		ssl_protocols  TLSv1.2;
        location /  {
            # 校验证书DN,防止根证书的其他证书也通过认证
            if ($ssl_client_s_dn !~ "CN=xxx,OU=xxx,O=xxx,C=CN") {
                return 403;
            }
			proxy_pass https//elasticsearch;
        } 
    }
	
	upstream elasticsearch  {
        server 11.22.33.44:9200;
    }

java配置


        try {
            String keystorePassPlain = PwdUtils.decryptSecretInfo(keystorePass);
            KeyStore keyStore = KeyStore.getInstance("jks");
            kis = new FileInputStream(new File(
                PathUtil.getAbsolutePath(keystorePath).orElse(StringUtils.EMPTY) + File.separator + "keystore.jks"));
            keyStore.load(kis, keystorePassPlain.toCharArray());

            String truststorePassPlain = PwdUtils.decryptSecretInfo(truststorePass);
            KeyStore trustStore = KeyStore.getInstance("jks");
            tis = new FileInputStream(new File(
                PathUtil.getAbsolutePath(keystorePath).orElse(StringUtils.EMPTY) + File.separator + "truststore.jks"));
            trustStore.load(tis, truststorePassPlain.toCharArray());

            SSLContextBuilder sslbuild = SSLContexts.custom().loadTrustMaterial(trustStore, (x509Certificates, s) -> {
                for (X509Certificate x509Certificate : x509Certificates) {
                    x509Certificate.checkValidity();
                }
                return false;
            }).loadKeyMaterial(keyStore, keystorePassPlain.toCharArray()).useProtocol("TLSv1.2");


            SSLContext sslcontext = sslbuild.build();
            this.builder.setHttpClientConfigCallback((httpClientBuilder) -> {
                return httpClientBuilder.setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE)
                    .setSSLContext(sslcontext);
            });
        } catch (Exception var13) {
            LOG.error("setSSLContext failed.", var13);
        } finally {
            try {
                if (tis != null) {
                    tis.close();
                }
                if (kis != null) {
                    kis.close();
                }
            } catch (IOException e) {
                tis = null;
                kis = null;
                LOG.error("close fileInputStreams error: ", e);
            }
        }

p12证书导入证书到浏览器

根证书,放入 受信任的根证书颁发机构

P12证书包含了客户端私钥和证书,等价于keystore.jks,放入个人

如果使用根证书+中间证书,需要在trustStore中添加整个信用链(包括根证书+中间证书),nginx 上前后复制粘贴放在一个文件里面就行

vi /etc/hosts

Maven有可能会把证书文件做编码处理,加上这个可以避免

 

水心可乐
关注
专栏目录
Java nginx https 双向认证
能写下来,理解才会更深
10-20 9332
最近要做个https 双向认证的,就做了个demo,踩了不少坑,记录一下. 主要还是对原理理解不够透彻,刚开始直接从网上搬个例子就用,结果大部分都不适用.
Ngnix配置自签名证书并且导入Java
Jack_software的专栏
12-24 541
1.ngnix配置(片段) listen 443 ssl; server_name localhost; charset utf-8; access_log /var/log/nginx/443.access.log main; error_log /var/log/nginx/443.error.log; ssl_certificate /etc/nginx/ssl/domain.crt; ssl_certificate_key /et
https签名证书双向认证
qq_27682773的博客
03-18 1738
前言 本篇文章主要介绍的是OpenSSL生成自签名证书实现https双向认证。 一、在linux中使用OpenSSL生成CA证书、客户端证书服务证书 查看 OpenSSL版本号 openssl version -a 如果不存在,需要安装OpenSSL 下载地址:www.openssl.org/source/openssl-1.0.2p.tar.gz tar -zxv openssl-1....
nginx生成自签名证书
weixin_30713953的博客
05-18 70
https://blog.csdn.net/qq_26819733/article/details/53431662 https://www.liaoxuefeng.com/article/0014189023237367e8d42829de24b6eaf893ca47df4fb5e000 https://blog.csdn.net/thc1987/article/details/527122...
java实现https请求单向认证双向认证
他叫阿来
02-06 4358
文章目录前言一、准备1.构建客户端证书2.构建服务器端证书3.tomcat准备二、单向认证1.配置2.代码访问三、双向认证1.配置2.浏览器访问3.代码访问总结 前言 本文通过构建自签名证书实现浏览器和代码发送https请求的单向认证双向认证和代码层绕过证书校验。 一、准备 1.构建客户端证书 keytool -genkey -v -alias clientKey -keyalg RSA -storetype PKCS12 -keystore client.key.p12 得到文件client.k
nginx https双向认证
mengting2040的博客
11-21 130
nginx https双向认证
关于JAVAnginx双向认证的总结
qq_39319111的博客
12-29 1230
关于JAVAnginx双向认证的总结目录一、 研究目的和简要二、 Openssl生成级联证书第一步:生成相关目录和文件第二步:修改openssl配置第三步:创建根证书第四步:生成服务证书第五步:生成客户端证书三、 Nginx配置双向认证四、 Java实现双向认证第一种方式:使用httpclient处理:第二种方式使用JDK的类处理:五、 证书关系图 目录 一、 研究目的和简要 二、 Opens...
关于https双向认证详解tomcat+java实现交叉验证
Ender__的专栏
06-18 3144
关于https双向认证详解 原doc文档导出pdf https://github.com/enderwsp/share4u/raw/master/%E5%85%B3%E4%BA%8Ehttps%E7%9A%84%E5%8F%8C%E5%90%91%E8%AE%A4%E8%AF%81%E8%AF%A6%E8%A7%A3tomcat%2Bjava%E5%AE%9E%E7%8E%B0%E4%BA%...
CA双向认证完整实现步骤(附java客户端代码)
程序员涂小哥的技术博客
03-18 2万+
一、基础概念 注:以下概念除专业名词外,均为个人理解,不具备权威性。 1、什么是系统安全管理 置于公网的系统,通常都需要一定的安全管理,据我个人理解,这里的安全管理主要分三个方面: 一是应用内的权限控制,比如具体应用的用户名、密码等; 二是应用数据传输过程中的安全机制,例如各种报文的加解密方案; 三是数据传输前的通讯安全机制,保证通讯双方都是可靠可信任的,PKI就是其中一个解决方案。 2、什么是P......
nginx SSL双向认证
zhangyunpengchang的专栏
07-05 1084
一.建立证书授权中心 1.检查是否已经安装openssl #which openssl /usr/bin/openssl 2.创建CA目录 #mkdir /usr/local/nginx/conf/ssl 3.生成私钥 #cd /usr/local/nginx/conf/ssl #echo 01 | tee ca.srl #openssl genrsa -des3 -out ca-
安全认证系列之-Java后台访问双向认证服务
weinichendian的博客
11-10 704
1.介绍 以java程序作为客户端,原理是一样的,也需要客户端请求时携带客户端证书和秘钥,并且客户端需要保存根证书,用来验证服务证书的可靠性,所以首先需要安装根证书。 2.根证书安装 1)生成truststore库文件进行访问-原生方式 根证书可以使用jdk的keytool工具安装,方式有很多种,这里只选用库文件的模式。 首先,把根证书ca.crt复制一份,重命名为ca.cer,然后把这个文件复制到jdk的jre\lib\security目录下,在这个目录中进行根证书的安装: 运行命令
java代码实现证书生成客户端证书 实现ssl双向认证
01-19 2万+
目的:实现web项目的ssl双向认证客户端证书代码生成。 使用openssl生成ca证书服务证书,当然也可以通过代码实现 1)创建CA私钥,创建目录ca openssl genrsa -out ca/ca-key.pem 1024 2)创建证书请求 openssl req -new -out ca/ca-req.csr -keyca/ca-key.pem -config
ssl证书nginx+tomcat+java代码适用)
07-09
ssl自制全套证书(包含服务器端、客户端、ca端的证书,格式有.crt,.key,.truststore,.keystore,.p12,.cer,.pem等类型),当时要配置webservice接口、tomca、nginx通过ssl访问的证书,弄了好久才生成了一套能使用的。下载后将文件解压到磁盘里,配置后访问即可。本套证书在windows上制作的,测试没问题,可以放心使用。client代表客户端的证书,server代表服务器端的证书,ca代表三方公正机构。
编译Nginx, 并使用自签证书实现https访问
weixin_30772261的博客
11-16 96
1. 编译安装nginx1.8.1 [root@centos7 nginx-1.8.1]# ./configure --prefix=/usr/local/nginx.1.8.1 --with-http_stub_status_module --with-http_ssl_module [root@centos7 nginx-1.8.1]# make && make install...
HTTPS证书自签,nginx证书自签及配置,jdk证书自签及配置
javabill23123的博客
09-05 1315
HTTPS证书自签,nginx证书自签及配置,jdk证书自签及配置一 JDK证书自签及导入1 切换到jdk的bin目录2 生成服务证书3 通过服务证书生成客户端证书4 客户端证书导入JDK二 linux下openssl签发私钥公钥并配置nginxhttps1 生成秘钥2 根据秘钥生成公钥3 将证书拷贝到nginx的conf目录下4 配置nginx的conf文件5 从应用中导出证书JDK...
Nginx配置引起的SSL证书认证失败
热门推荐
千面怪的博客
03-31 4万+
1. 背景目前公司对外开放了一个云服务平台,提供一些功能供商户接入使用。整个项目的架构是基于Spring + MyBatis的。另外,商户端的服务接口是基于SOAP WebService的,这部分使用CXF实现。 安全方面采用了Spring Security,可以对商户提供证书认证或密码认证。但是出于安全考虑,目前只开放了证书认证。为了使用证书认证商户,我们创建了一个自签名的CA,用来生成商户使用
web页面、java项目用nginx配置https
Skyline_ding的博客
06-01 701
web页面、java项目用nginx配置https
谈谈Java 如何做 HTTPS 双向认证
青空coding
12-28 1258
大家好,我是青空。 想必大家对 HTTPS 都有一定的了解吧。今天青空将给大家聊聊 HTTPS 是如何做安全认证的。 HTTPS 是 HTTP 的一个扩展,允许计算机网络中的两个实体之间进行安全通信。HTTPS 使用TLS(传输层安全)协议来实现安全连接。 TLS 可以通过单向或双向证书验证来实现。在单向中,服务器分享其公共证书,以便客户可以验证它是一个受信任的服务器。另一个选择是双向验证。客户端和服务器都分享他们的公共证书以验证对方的身份。 青空将重点介绍双向证书验证,服务器也将检查客户的证书。 Ja
java获取https网站证书,附带调用https:webservice接口
Death黎明的博客
03-21 4016
做好记录少走弯路:https://www.cnblogs.com/enenen/p/6238504.html 看似很麻烦但是却实可以使用 一、java 获取https网站证书:   1、创建一个java工程,新建InstallCert类,将以下代码复制进去 package com; import java.io.BufferedReader; import java.io.Fil...
java nginx https_Java如何与https服务通信(StartCom+Nginx
weixin_35909141的博客
02-16 239
最近申请了一个startCom的一个免费ssl,然后配置到自己的nginx(Nginx转发8080的tomcat服务)上。一开始用unirest想获取页面信息,结果现实这个错误:Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException:PKIX path building fa...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值