07-HTTPS双向认证及Java案例

最新推荐文章于 2024-05-25 21:07:00 发布
最新推荐文章于 2024-05-25 21:07:00 发布
阅读量2.4k 收藏 10
点赞数 2
分类专栏: 安全 文章标签: https java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40304387/article/details/127969463
版权

1.双向认证流程

  1. 客户端发起建立HTTPS连接请求,将SSL协议版本的信息发送给服务端;
  2. 服务器端将本机的公钥证书(server.crt)发送给客户端;
  3. 客户端读取公钥证书(server.crt),取出了服务端公钥;
  4. 客户端将客户端公钥证书(client.crt)发送给服务器端;
  5. 服务器端使用根证书(root.crt)解密客户端公钥证书,拿到客户端公钥;
  6. 客户端发送自己支持的加密方案给服务器端;
  7. 服务器端根据自己和客户端的能力,选择一个双方都能接受的加密方案,使用客户端的公钥加密后发送给客户端;
  8. 客户端使用自己的私钥解密加密方案,生成一个随机数R,使用服务器公钥加密后传给服务器端;
  9. 服务端用自己的私钥去解密这个密文,得到了密钥R
  10. 服务端和客户端在后续通讯过程中就使用这个密钥R进行通信了。

2. 证书准备

从上一章内容中,我们可以总结出来,整个双向认证的流程需要六个证书文件:

  • 服务器端公钥证书:server.crt
  • 服务器端私钥文件:server.key
  • 根证书:root.crt
  • 客户端公钥证书:client.crt
  • 客户端私钥文件:client.key
  • 客户端集成证书(包括公钥和私钥,用于浏览器访问场景):client.p12

所有的这些证书,我们都可以向证书机构去申请签发,一般需要收取一定的证书签发费用,此时我们需要选择大型的证书机构去购买。如果只是企业内部使用,不是给公众使用,也可以自行颁发自签名证书

3. 自签名证书

3.1 、根证书

(1)创建根证书私钥

openssl genrsa -out root.key 1024

(2)创建根证书请求文件:

openssl req -new -out root.csr -key root.key

后续参数请自行填写,下面是一个例子:

Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:bj
Locality Name (eg, city) [Default City]:bj
Organization Name (eg, company) [Default Company Ltd]:alibaba
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your servers hostname) []:root
Email Address []:a.alibaba.com
A challenge password []:
An optional company name []:

(3)创建根证书

openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650

在创建证书请求文件的时候需要注意三点,下面生成服务器请求文件和客户端请求文件均要注意这三点:

  • 根证书的Common Name填写root就可以,所有客户端和服务器端的证书这个字段需要填写域名,一定要注意的是,根证书的这个字段和客户端证书、服务器端证书不能一样;
  • 其他所有字段的填写,根证书、服务器端证书、客户端证书需保持一致
  • 最后的密码可以直接回车跳过。

经过上面三个命令行,我们最终可以得到一个签名有效期为10年的根证书root.crt,后面我们可以用这个根证书去颁发服务器证书和客户端证书。

3.2、 生成自签名服务器端证书

(1)生成服务器端证书私钥

openssl genrsa -out server.key 1024

(2) 生成服务器证书请求文件,过程和注意事项参考根证书,本节不详述:

openssl req -new -out server.csr -key server.key

(3) 生成服务器端公钥证书

openssl x509 -req -in server.csr -out server.crt -signkey server.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

经过上面的三个命令,我们得到:
server.key:服务器端的密钥文件 server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成

3.3、 生成自签名客户端证书

(1)生成客户端证书密钥:

openssl genrsa -out client.key 1024
openssl genrsa -out client2.key 1024

(2) 生成客户端证书请求文件,过程和注意事项参考根证书,本节不详述:

openssl req -new -out client.csr -key client.key
openssl req -new -out client2.csr -key client2.key

(3) 生客户端证书

openssl x509 -req -in client.csr -out client.crt -signkey client.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650
openssl x509 -req -in client2.csr -out client2.crt -signkey client2.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

(4) 生客户端p12格式证书,需要输入一个密码,选一个好记的,比如123456

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
openssl pkcs12 -export -clcerts -in client2.crt -inkey client2.key -out client2.p12

重复使用上面的命令,我们得到两套客户端证书:

  • client.key / client2.key:客户端的私钥文件
  • client.crt / client2.key:有效期十年的客户端证书
    使用根证书和客户端私钥一起生成 client.p12/client2.p12,这个证书文件包含客户端的公钥和私钥,主要用来给浏览器访问使用

4. keytool生成证书

使用双向认证的SSL/TLS协议通信,客户端和服务器端都要设置用于证实自己身份的安全证书,并且还要设置信任对方的哪些安全证书。
理论上一共需要准备四个文件,两个keystore文件和两个truststore文件。
通信双方分别拥有一个keystore和一个truststore,keystore用于存放自己的密钥和公钥,truststore用于存放所有需要信任方的公钥。

keytool -genkey -alias catserver -keyalg rsa -keysize 1024 -sigalg sha256withrsa -keypass huawei -keystore catserver.keystore -storepass huawei


keytool -genkey -alias foxclient -keyalg dsa -keysize 512 -sigalg sha1withdsa -keypass huawei -keystore foxclient.keystore -storepass huawei

keytool -export -alias catserver -keystore catserver.keystore -storepass huawei -file catserver.cer

keytool -export -alias foxclient -keystore foxclient.keystore -storepass huawei -file foxclient.cer

keytool -import -alias foxclient -keystore catservertrust.keystore -storepass huawei -file foxclient.cer

keytool -import -alias catserver -keystore foxclienttrust.keystore -storepass huawei -file catserver.cer

5. 使用Java调用

5.1、server代码

public class CatServer implements Runnable, HandshakeCompletedListener {

    public static final int SERVER_PORT = 11123;

    private final Socket _s;
    private String peerCerName;

    public CatServer(Socket s) {
        _s = s;
    }

    public static void main(String[] args) throws Exception {
        String serverKeyStoreFile = "D:\\code\\mycode\\java-study\\https\\src\\main\\resources\\double\\catserver.keystore";
        String serverKeyStorePwd = "huawei";
        String catServerKeyPwd = "huawei";
        String serverTrustKeyStoreFile = "D:\\code\\mycode\\java-study\\https\\src\\main\\resources\\double\\catservertrust.keystore";
        String serverTrustKeyStorePwd = "huawei";

        KeyStore serverKeyStore = KeyStore.getInstance("JKS");
        serverKeyStore.load(new FileInputStream(serverKeyStoreFile), serverKeyStorePwd.toCharArray());

        KeyStore serverTrustKeyStore = KeyStore.getInstance("JKS");
        serverTrustKeyStore.load(new FileInputStream(serverTrustKeyStoreFile), serverTrustKeyStorePwd.toCharArray());

        KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        kmf.init(serverKeyStore, catServerKeyPwd.toCharArray());

        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(serverTrustKeyStore);

        SSLContext sslContext = SSLContext.getInstance("TLSv1");
        sslContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);

        SSLServerSocketFactory sslServerSocketFactory = sslContext.getServerSocketFactory();
        SSLServerSocket sslServerSocket = (SSLServerSocket) sslServerSocketFactory.createServerSocket(SERVER_PORT);
        sslServerSocket.setNeedClientAuth(true);

        while (true) {
            SSLSocket s = (SSLSocket) sslServerSocket.accept();
            CatServer cs = new CatServer(s);
            s.addHandshakeCompletedListener(cs);
            new Thread(cs).start();
        }
    }

    @Override
    public void run() {
        try {
            BufferedReader reader = new BufferedReader(new InputStreamReader(_s.getInputStream()));
            PrintWriter writer = new PrintWriter(_s.getOutputStream(), true);

            writer.println("Welcome~, enter exit to leave.");
            String s;
            while ((s = reader.readLine()) != null && !s.trim().equalsIgnoreCase("exit")) {
                writer.println("Echo: " + s);
            }
            writer.println("Bye~, " + peerCerName);
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            try {
                _s.close();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
    }

    @Override
    public void handshakeCompleted(HandshakeCompletedEvent event) {
        try {
            X509Certificate cert = (X509Certificate) event.getPeerCertificates()[0];
            peerCerName = cert.getSubjectX500Principal().getName();
                } catch (SSLPeerUnverifiedException ex) {
                ex.printStackTrace();
                }
                }

                }

5.2、client代码

public class FoxClient {
    public static void main(String[] args) throws Exception {
        String clientKeyStoreFile = "D:\\code\\mycode\\java-study\\https\\src\\main\\resources\\double\\foxclient.keystore";
        String clientKeyStorePwd = "huawei";
        String foxclientKeyPwd = "huawei";
        String clientTrustKeyStoreFile = "D:\\code\\mycode\\java-study\\https\\src\\main\\resources\\double\\foxclienttrust.keystore";
        String clientTrustKeyStorePwd = "huawei";

        KeyStore clientKeyStore = KeyStore.getInstance("JKS");
        clientKeyStore.load(new FileInputStream(clientKeyStoreFile), clientKeyStorePwd.toCharArray());

        KeyStore clientTrustKeyStore = KeyStore.getInstance("JKS");
        clientTrustKeyStore.load(new FileInputStream(clientTrustKeyStoreFile), clientTrustKeyStorePwd.toCharArray());

        KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        kmf.init(clientKeyStore, foxclientKeyPwd.toCharArray());

        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(clientTrustKeyStore);

        SSLContext sslContext = SSLContext.getInstance("TLSv1");
        sslContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);

        SSLSocketFactory socketFactory = sslContext.getSocketFactory();
        Socket socket = socketFactory.createSocket("localhost", CatServer.SERVER_PORT);

        PrintWriter out = new PrintWriter(socket.getOutputStream(), true);
        BufferedReader in = new BufferedReader(new InputStreamReader(socket.getInputStream()));

        send("hello", out);
        send("exit", out);
        receive(in);
        socket.close();
    }

    public static void send(String s, PrintWriter out) throws IOException {
        System.out.println("Sending: " + s);
        out.println(s);
    }

    public static void receive(BufferedReader in) throws IOException {
        String s;
        while ((s = in.readLine()) != null) {
            System.out.println("Reveived: " + s);
        }
    }
}

参考文章:

更多内容关注微信公众号 ”前后端技术精选“,或者语雀,里面有更多知识:https://www.yuque.com/riverzmm/uu60c9?# 《安全》

不断前行的菜鸟_
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JAVA实现的SSL/TLS双向认证源代码
02-02
压缩包里有客户端源码和服务器端源码,支持TCP的双向认证,也支持WEBSOCKET的双向认证,内附测试 wss的测试例子, 需要生成PKCS12的证书,导入浏览器才可以测试。
java实现https双向认证源代码加doc详细说明
08-22
是Sun为了解决在Internet上的实现安全信息传输的解决方案。它实现了SSL和TSL(传输层安全)协议。在JSSE中包含了数据加密,服务器验证,消息完整性和客户端验证等技术。通过使用JSSE,可以在Client和Server之间通过TCP/IP协议安全地传输数据
SSL连接的JAVA实现
05-25 2515
SSL双向认证的流程如下图: 从以上流程可见,要完成双向认证服务器端和客户端都需要验证对方的证书,然后再进行加密的协商。这里基于JAVA来实现一个服务器端和客户端的程序,可以实现双向认证。 首先需要准备服务器和客户端的相关证书: 1. 创建自签名的根密钥 openssl genrsa -out rootkey.pem 2048 2. 生成根证书 openssl req -x509 -new -key rootkey.pem -out root.crt -subj="/C=CN/ST=GD
java中关于SSL/TSL的介绍和如何实现SSL Socket双向认证
weixin_34200628的博客
06-01 341
一、        SSL概述 SSL协议采用数字证书及数字签名进行双端实体认证,用非对称加密算法进行密钥协商,用对称加密算法将数据加密后进行传输以保证数据的保密性,并且通过计算数字摘要来验证数据在传输过程中是否被篡改和伪造,从而为敏感数据的传输提供了一种安全保障手段。 SSL协议提供的服务主要有: 1)认证用户和服务器,确保数据发送到正确的客户机和服务器 认证用户和服务器的合法性,使它们...
java配置ssl证书实现https请求,一级域名和二级域名配置https,小程序https后台的配置
最新发布
2401_85112498的博客
05-25 336
2,有一台自己的服务器(阿里云腾讯云都可以)一,申请ssl证书这里以腾讯云为例,我们首先要登录自己的腾讯云服务器,然后进入ssl证书申请页。然后选择免费的ssl证书,申请即可给证书绑定域名,一个证书只能绑定一个顶级域名或者二级域名。证书申请成功二,下载ssl证书点击下载证书后,会得到一个压缩包,解压后可以看到每种服务器对应的证书,选择自己的即可。我们看下tomcat对应的文件都有什么。
java-https客户端双向认证SSL
weixin_43728597的博客
11-22 1584
springboot下https双向认证开发经验
ssl认证、证书】SSL双向认证java实战、keytool创建证书
m0_45406092的博客
03-27 1561
模拟场景:Server端和Client端通信,需要进行授权和身份的验证,即Client只能接受Server的消息,Server只能接受Client的消息。实现技术:是Sun为了解决在Internet上的安全通讯而推出的解决方案。它实现了SSL和TSL(传输层安全)协议。在JSSE中包含了数据加密,服务器验证,消息完整性和客户端验证等技术。通过使用JSSE,开发人员可以在客户机和服务器之间通过TCP/IP协议安全地传输数据为了实现消息认证。Server需要:1)KeyStore。
JAVA使用RestTemplate类实现SSL双向/单向认证(国际)
qq_47275692的博客
03-28 3694
双向/单向认证、国际、SSL
Tomcat配置httpsJAVA生成ssl证书,http和https双向配置
Fadess的博客
07-13 3556
Tomcat配置证书、生成SSL证书,HTTPS配置、HTTP配置、JAVA生成SSL证书
基于springboot实现的https单向认证双向认证java生成证书)
码说芯语的博客
10-24 7292
1、java生成HTTPS证书: 既然是双向验证,就需要双方的密钥,我们服务端称为localhost,而客户端称为client。需要生成双方的密钥文件,并把对方的cert导入自己的密钥文件里。整个过程如下: 注意:密码统一为:changeit,这个密码自己可以设置,然后记住就可以了。 生成服务端密钥文件localhost.jks: keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystor
https双向认证
u014644574的博客
08-07 1万+
https双向认证
Java加密技术(十一)——双向认证
热门推荐
u014386474的博客
06-14 4万+
对于双向认证,做一个简单的描述。  服务器端下发证书,客户端接受证书。证书带有公钥信息,用于验证服务器端、对数据加密/解密,起到OSI五类服务的认证(鉴别)服务和保密性服务。  这只是单向认证,为什么?因为客户端可以验证服务器端,但服务器端不能验证客户端!  如果客户端也有这样一个证书,服务器端也就能够验证客户端,这就是双向认证了!  换言之,当你用银行的“U盾”之类的U盘与银行账
java1-echo.rar_java socket ec
09-24
在本案例中,我们讨论的是一个基于Java Socket实现的简单客户端-服务器(C/S)架构的聊天程序,名为"java1-echo.rar_java socket ec"。这个程序的基本功能是,客户端发送的消息会被服务器接收并原样返回,即回显服务...
love-aimer-hospital-master_java_
09-30
【标题】"love-aimer-hospital-master_java_"是一个基于Java技术栈的项目,主要采用SSM(Spring、SpringMVC、MyBatis)框架与Vue.js前端框架,构建了一个名为UMS(UserManageSystem)的用户管理系统。这个项目旨在为...
java课程设计案例
04-23
3. Servlet 3.1及以上版本:支持WebSocket API,可以在Java Web应用程序中轻松集成WebSocket功能。 4. JSON(JavaScript Object Notation):轻量级的数据交换格式,用于在客户端和服务器之间传输消息。 5. ...
JavaSpring几个练习案例.rar
03-03
案例可能涵盖了用户认证、授权、CSRF防护等安全机制的配置和实现。 7. **WebSocket**:Spring Framework 支持WebSocket协议,可用于创建实时双向通信应用。案例可能包含WebSocket的配置、客户端和服务器端的交互...
java案例知识问答服务器.rar_java socket _probablyexi
09-24
在本Java案例中,我们关注的是使用Socket编程创建一个简单的知识问答服务器。Socket编程是Java网络编程的基础,它允许两台计算机通过网络进行通信。在这个项目中,我们主要涉及以下几个核心知识点: 1. **Java ...
springboot整合https实现双向认证
flyfun123的博客
09-08 1439
从创建证书到具体调用,亲手验证过了
java使用证书双向认证
qqnbsp的博客
11-20 2328
场景:对方提供ca证书和client证书以及service证书;我们去请求对方的https地址。 步骤一: 先制作证书 echo "1、创建 自己的JKS 文件.." openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -passout 123456 keytool -importkeystore -srckeystore server.p12 -srcstoretype PKCS12 -destkeys.
java语言的https双向认证
08-13
### 回答1: Java 语言中,https双向认证即为客户端和服务器双方都需要进行身份验证。这种方式能够提供更高级别的安全保障,因为双方都需要证明自己的身份。 在 Java 中,可以使用 java.net 包中的 HttpsURLConnection 类实现双向认证。要使用双向认证,需要客户端和服务器都持有一个数字证书,并且客户端需要在与服务器通信时提供证书,服务器也需要验证客户端的证书。 代码实现细节较复杂,这里不再赘述。有兴趣的读者可以查找相关的资料进行学习。 ### 回答2: Java语言中的HTTPS双向认证是建立在传输层安全协议(TLS/SSL)之上的一种加密通信机制。在HTTPS连接中,服务器和客户端之间进行双向认证,以确保通信的安全性。 双向认证主要包括以下步骤: 首先,服务器需要具有一张数字证书,该证书由可信任的第三方机构(如CA)颁发。证书中包含了服务器的公钥,以及其他相关信息。服务器会将此证书发送给客户端。 然后,客户端会收到服务器发送的数字证书。客户端会验证证书的合法性,并检查证书中的相关信息,如颁发机构、有效期等。如果证书合法,客户端会直接使用证书中的公钥进行加密。 接下来,客户端会生成一个随机数(密钥),并使用服务器的公钥对其进行加密,然后将加密后的密钥发送给服务器服务器收到客户端发送的加密后的密钥后,会使用自己的私钥进行解密操作,得到客户端生成的随机数。 此后,服务器和客户端都拥有了相同的随机数(密钥),它们可以使用该密钥进行对称加密和解密操作,保证通信的机密性和完整性。 通过以上双向认证的流程,HTTPS连接实现了身份验证和数据加密,确保了通信的安全性。在Java语言中,可以使用相关的API和工具来实现双向认证,如Java KeyStore用于存储和管理数字证书,以及使用SSLContext和SSLParameters等类来配置和控制SSL/TLS连接的安全参数。 ### 回答3: Java语言中的HTTPS双向认证是一种网络通信模式,在该模式中,服务器和客户端之间进行双向验证以确保安全通信。 首先,客户端向服务器发起HTTPS连接请求。服务器会将自己的数字证书发送给客户端,该数字证书包含服务器的公钥,并由数字证书颁发机构签名验证。客户端会验证服务器的证书是否合法和有效。 接下来,客户端生成自己的密钥对,并将公钥发送给服务器。客户端的公钥也被包含在数字证书中,并由客户端的数字证书颁发机构签名验证。服务器会验证客户端的证书是否合法和有效。 在双向认证过程中,客户端和服务器都进行了证书的验证和身份的验证。只有在双方都验证通过的情况下,它们才能建立安全的连接,继续进行通信。 双向认证可以提供更高的安全性,因为不仅服务器验证客户端身份,客户端也可以验证服务器身份。这有效防止了中间人攻击和伪造服务器的问题。 在Java语言中,可以使用Java标准库中的SSLSocket和SSLServerSocket类来实现HTTPS双向认证服务器可以配置使用自己的私钥和证书,用于验证客户端的请求,而客户端可以使用其私钥和证书来验证服务器双向认证HTTPS协议中的一种重要机制,可以在保证通信安全的同时提供双方身份的验证。它广泛应用于银行、电商等对安全性要求较高的应用场景中。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值