Java访问Nginx双向认证

已于 2022-01-26 13:19:03 修改
阅读量1.5k 收藏 6
点赞数 2
分类专栏: Nginx https java 文章标签: nginx java ssl openssl https
于 2022-01-26 13:16:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44480960/article/details/122699651
版权
java 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
Nginx
2 篇文章 0 订阅
订阅专栏
https
2 篇文章 0 订阅
订阅专栏

Nginx双向认证配置及测试

一、前言

在我的前面两篇博客中我已经介绍了什么是Nginx的双向认证,以及如何使用keytool实现tomcat的双向认证,概念阐述以及废话比较多哈哈,今天主要是将Nginx的双向认证如何配置并且使用Java程序去访问Nginx。看过我前面两篇博客的小伙伴应该都知道,Nginx的双向认证我们使用的是Openssl工具来生成CA证书、Server的证书、Client的证书,而Tomcat双向认证使用的是Jdk自带的Keytool工具来生成Server证书和Client证书。所以在我们使用Java访问Nginx的时候就存在证书格式的问题。(或者说如何将Openssl生成的Ca证书引入信任库中)

二、Nginx双向认证

准备工作

A.生成需要使用的CA证书

创建一个/cert/test 文件夹,在该文件夹生成CA证书

mkdir /cert/test
cd /cert/test
openssl genrsa -out ca.key 2048 //生成CA的私钥
//用刚刚生成的私钥生成CA证书
openssl req -x509 -new -nodes -key ca.key -subj "/CN=achao666.xyz" -days 365 -out ca.crt
openssl x509 -in ca.crt -noout -text  //查看证书

说明:命令行中的CN指的是Common Name,小伙伴们如果有自己的域名就可以用域名,没有域名就使用ip地址

截图:img

B.生成Server端的证书

创建一个服务器证书,并将该证书交由CA签名

openssl genrsa -out server.key 2048 //生成server的私钥
//生成server证书请求文件 
openssl req -new -key server.key -subj "/CN=achao666.xyz" -out server.csr
//生成server证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365

截图:
img

C.生成Client端的证书

创建一个客户端证书,并将该证书交由CA签名

openssl genrsa -out client.key 2048 //生成client的私钥
//生成client的证书请求文件
openssl req -new -key client.key -subj "/CN=achao666.xyz" -out client.csr

//创建一个拓展文件
cat > client.ext << EOF
extendedKeyUsage=clientAuth
EOF 

//生成client证书 
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile client.ext -out client.crt -days 356

截图:
img

D.生成浏览器需要的证书格式

生成client证书的pfx格式,需要设置密码

openssl pkcs12 -export -inkey /cert/test/client.key -in /cert/test/client.crt -out client.pfx 
sz client.pfx  //下载到Windows

截图:
img

E.配置Nginx

修改nginx.conf配置,并重启nginx

vi /usr/local/nginx/conf/nginx.conf
/usr/local/nginx/sbin/nginx -s reload //重启nginx

截图:
img

测试

测试浏览器访问

img

无法访问,我们需要安装之前导出的client.pfx文件
img

安装完成再次访问浏览器
img

已经能够成功访问

img

使用Linux shell脚本访问
curl https://achao666.xyz --cacert /cert/test/ca.crt --cert /cert/test/client.crt --key /cert/test/client.key --resolve achao666.xyz:443:139.224.50.94  -k

截图:
img

使用Java程序访问

需生成truststore库文件进行访问,使用jdk自带工具keytool生成

keytool -keystore truststore -keypass 123456 -storepass 123456 -alias achaoCa -import -trustcacerts -file ca.cer //这边需要将ca.crt复制一份并改为ca.cer

截图:
img
img

Java实现
img

三、Java代码块

HttpConfig

import javax.net.ssl.*;
import java.io.FileInputStream;
import java.security.KeyStore;
import java.security.SecureRandom;
import java.util.Optional;

public class HttpConfig {

    public static final String PROTOCOL = "TLS";

    /**
     * 获取keystore
     *
     * @param keystorePath keystore路径
     * @param password     密码
     * @return 密钥库
     * @throws Exception Exception
     */
    private static KeyStore getKeyStore(String keystorePath, String password) throws Exception {
        KeyStore keystore = KeyStore.getInstance("JKS"); //JKS PKCS12
//        KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
        try (FileInputStream in = new FileInputStream(keystorePath);) {
            keystore.load(in, password.toCharArray());
            return keystore;
        }
    }

    /**
     * 获取 SSLSocketFactory
     * @param keyManagerFactory 密钥库工厂
     * @param trustFactory 信任库工厂
     * @return SSLSocketFactory
     * @throws Exception Exception
     */
    public static SSLSocketFactory getSSLSocketFactory(KeyManagerFactory keyManagerFactory,
                                                       TrustManagerFactory trustFactory) throws Exception {

        // 实例化SSL上下文
        SSLContext context = SSLContext.getInstance(PROTOCOL);
        KeyManager[] keyManagers = Optional.ofNullable(keyManagerFactory)
                .map(KeyManagerFactory::getKeyManagers).orElse(null);
        TrustManager[] trustManagers = Optional.ofNullable(trustFactory)
                .map(TrustManagerFactory::getTrustManagers).orElse(null);
        context.init(keyManagers, trustManagers, new SecureRandom());
        return context.getSocketFactory();
    }

    public static TrustManagerFactory getTrustManagersFactory(String trustStorePath, String password) throws Exception {
        // 实例化信任库
        TrustManagerFactory trustFactory = TrustManagerFactory
                .getInstance(TrustManagerFactory.getDefaultAlgorithm());
        KeyStore trustStore = getKeyStore(trustStorePath, password);
        // 初始化信任库
        trustFactory.init(trustStore);
        return trustFactory;
    }

    public static KeyManagerFactory getKeyManagerFactory(String keystorePath, String password) throws Exception {
        KeyManagerFactory factory = KeyManagerFactory
                .getInstance(KeyManagerFactory.getDefaultAlgorithm());
        // 获取密钥库
        KeyStore keyStore = getKeyStore(keystorePath, password);
        // 初始化密钥工厂
        factory.init(keyStore, password.toCharArray());
        return factory;
    }
}

测试类

import org.junit.Test;

import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManagerFactory;
import java.io.DataInputStream;
import java.io.IOException;
import java.net.URL;

public class HttpsRequestTest {
    private String password = "123456";
    private String trustStorePath = "F:\\ca\\nginx\\test\\truststore";
    private String keyStorePath = "F:\\ca\\nginx\\test\\client.pfx";
    private String httpUrl = "https://139.224.50.94";
    @Test
    public void twoWayAuthentication() throws Exception {
        URL url = new URL(httpUrl);
        HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
        // 打开输入输出流
        conn.setDoInput(true);
        //域名校验
        conn.setHostnameVerifier((k, t) -> true);
        // 双向认证
        TrustManagerFactory trustManagersFactory =
                HttpConfig.getTrustManagersFactory(trustStorePath, password);
        KeyManagerFactory keyManagerFactory = HttpConfig
                .getKeyManagerFactory(keyStorePath, password);
        SSLSocketFactory sslSocketFactory = HttpConfig
                .getSSLSocketFactory(keyManagerFactory, trustManagersFactory);
        conn.setSSLSocketFactory(sslSocketFactory);
        conn.connect();
        receiveData(conn);
        conn.disconnect();
    }

    private void receiveData(HttpsURLConnection conn) throws IOException {
        int length = conn.getContentLength();
        byte[] data = null;
        if (length != -1) {
            DataInputStream input = new DataInputStream(conn.getInputStream());
            data = new byte[length];
            input.readFully(data);
            input.close();
            System.out.println(new String(data));
        }
    }
}
'超'想敲代码
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux nginx双向认证服务搭建
02-13
linux nginx双向认证服务搭建tomcat ssl 步骤
https 单向认证双向认证
茅坤宝骏氹的博客
06-10 2888
转载自   https 单向认证双向认证 一、Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80 二、Https Hyper Text Transfer Protocol ov...
Java nginx https 双向认证
qq_44952610的博客
04-23 512
Java nginx https 双向认证
Java nginx 双向ssl_使用Nginx实现HTTPS双向验证的方法
weixin_31452537的博客
02-25 221
https单向验证应用广泛想必大家都很熟悉,我已经在一篇博文中分享过,这次来看看Nginx如何实现双向验证。单向验证与双向验证的区别:单向验证: 指客户端验证服务器端证书,服务器并不需要验证客户端证书。双向验证:指客户端验证服务器端证书,而服务器也需要通过CA的公钥证书来验证客户端证书。详细的握手过程:单向验证浏览器发送一个连接请求给安全服务器。1、服务器将自己的证书,以及同证书相关的信息发送给客...
HttpsOpenSSL自建CA证书及签发证书、nginx单向认证双向认证及使用Java访问
weixin_30646315的博客
08-14 164
0.环境 本文的相关源码位于https://github.com/dreamingodd/CA-generation-demo 必须安装nginx,必须安装openssl,(用apt-get update, apt-get install来安装比较简单) 1.配置和脚本 先创建一个demo目录(位置自己选择,我选择建在nginx的目录下): mkdir /et...
java openssl ca_HttpsOpenSSL自建CA证书及签发证书、nginx单向认证双向认证及使用Java访问...
weixin_34769715的博客
03-04 201
0.环境安装了nginx,安装了openssl1.配置和脚本先创建一个demo目录(位置自己选择,我选择建在nginx的目录下):mkdir /etc/nginx/ca-democd/etc/nginx/ca-demo修改SSL配置openssl.cnf(也可能是openssl.conf,不知道在哪可以用find -name / openssl.cnf查找)将dir属性改成你上一步自建的目录,不要...
JAVA进阶之路-nginx设置密码
阿猪的博客
06-20 2560
部署elk后 kibana默认是不需要登录账号密码的,所以这样很缺乏安全性,所以我们需要将kibana设置账号密码登录。我们需要用到nginx。下载安装nginx后 我们开始配置。 其实这跟Kibana配置没啥关系,基本只要配置好nginx就可以了!我现在是默认你们配置好了kibana。开始上配置文件! server { listen 80; serve...
nginx配置https,并实现Java项目同时进行https、http访问
weixin_53799443的博客
03-13 2752
根据公司的需求,实现两种访问的方式,一种通过nginx,一种通过启动项目访问。并且还要实现同一个项目不仅通过https访问项目,还可以根据http访问项目。
Java实现RSA 2048加密解密
Alderaan的博客
04-16 6033
Java实现RSA 2048加密解密
记一次:java访问nginx代理服务器访问第三方服务
sinat_38259539的博客
02-01 1366
有这样的场景,A机器访问C机器访问不了,而A机器可以访问B机器,B机器也可以访问C机器,所以就可以使用B做代理机,实现A访问B从而实现A访问C。其中的Base64.encode(user:password)是指把用户名和密码用冒号连接起来之后使用Base64编码后的值作为值的一部分。使用代理的方式是在打开Http连接的时候同时传递一个Proxy参数。.Authenticator这个类却是个抽象类,我们要使用还需要实例化一下子自己的类。如果你的代理服务器不需要验证,那到此就结束了。
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
详解Nginx SSL快速双向认证配置(脚本)
09-30
主要介绍了详解Nginx SSL快速双向认证配置(脚本),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
带你使用Nginx实现HTTPS双向验证
weixin_33852020的博客
05-25 616
https单向验证应用广泛想必大家都很熟悉,我已经在一篇博文中分享过,这次来看看Nginx如何实现双向验证。单向验证与双向验证的区别:单向验证: 指客户端验证服务器端证书,服务器并不需要验证客户端证书。双向验证:指客户端验证服务器端证书,而服务器也需要通过CA的公钥证书来验证客户端证书。详细的握手过程:单向验证浏览器发送一个连接请求给安全服务器。1、服务器将自己的证书,以及同证书相关的信息发送给客...
巧用 Nginx 快速实现 HTTPS 双向认证
qq_40907977的博客
08-05 884
1.原理 双向认证,顾名思义,客户端和服务器端都需要验证对方的身份,在建立 HTTPS 连接的过程中,握手的流程比单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。 1.1 单向认证流程 单向认证流程中,服务器端保存着公钥证书和私钥两个文件,整个握手过程如下: 1、客户端发
JavaNginx使用
Litt_White的博客
03-19 1566
(例如 server_name/uri-string),对虚拟主机名称(也可以是IP别名)之外的字符串(例如 前面的 /uri-string)进行匹配,对特定的请求进行处理。4、^~:用于不含正则表达式的 uri 前,要求 Nginx 服务器找到标识 uri 和请求字符串匹配度最高的 location 后,立即使用此 location 处理请求,而不再使用 location 块中的正则 uri 的请求字符串做匹配。每个请求按时间顺序逐一分配到不同的后端服务器,如果后端服务器down掉,能自动剔除。
java怎么请求nginx静态资源_nginx访问静态资源的相关配置
weixin_33497944的博客
02-24 907
nginx访问静态资源的相关配置引言需要通过nginx服务读取静态文件,需要配置nginx.conf的相关配置,如虚拟主机配置server、location配置。其实nginx.conf的配置文件是由指令集组成的,指令集分为:简单指令、模块指令。简单的指令由名字和参数组成,中间用空格隔开,末尾用分号(;)结尾。模块指令和简单指令有着相同的结构,但是末尾的分号(;)改为了花括号({})如果模块指令中...
nginx实现双向认证
qq_41937509的博客
09-20 4514
如果手里面只有通过正规途径申请下来的证书(而不是上面自签证做法), 得到的证书如下面所示, 这里只有服务端证书而没有服务端和根证书, 所以仍需要我们以自签证的方式生成根证书以及客户端证书。配置的主要内容是配置了服务器端证书的公钥私钥以及根证书的公钥, 并且ssl_verify_client 参数设置为 on。如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置:ssl_verify_depth 1;server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成。
Java nginx 双向ssl_nginx配置ssl双向验证的方法
weixin_36028243的博客
02-25 316
1、安装nginx略2、使用openssl实现证书中心由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同Country NameState or Province NameLocality NameOrganization NameOrganizational Unit Name编辑证书中心配置文件vim /etc/pki/tls/open...
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
最新发布
XING的博客
05-03 1199
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
nginx 双向认证
07-28
Nginx支持双向认证,也称为客户端证书认证。在双向认证中,客户端和服务器之间都需要相互验证身份。下面是实现Nginx双向认证的一般步骤: 1. 生成服务器证书和私钥:首先需要生成服务器的证书和私钥。可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值