Java访问Nginx双向认证

已于 2022-01-26 13:19:03 修改
阅读量1.7k 收藏 8
点赞数 3
分类专栏: Nginx https java 文章标签: nginx java ssl openssl https
于 2022-01-26 13:16:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44480960/article/details/122699651
版权
java 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
Nginx
2 篇文章 0 订阅
订阅专栏
https
2 篇文章 0 订阅
订阅专栏

Nginx双向认证配置及测试

一、前言

在我的前面两篇博客中我已经介绍了什么是Nginx的双向认证,以及如何使用keytool实现tomcat的双向认证,概念阐述以及废话比较多哈哈,今天主要是将Nginx的双向认证如何配置并且使用Java程序去访问Nginx。看过我前面两篇博客的小伙伴应该都知道,Nginx的双向认证我们使用的是Openssl工具来生成CA证书、Server的证书、Client的证书,而Tomcat双向认证使用的是Jdk自带的Keytool工具来生成Server证书和Client证书。所以在我们使用Java访问Nginx的时候就存在证书格式的问题。(或者说如何将Openssl生成的Ca证书引入信任库中)

二、Nginx双向认证

准备工作

A.生成需要使用的CA证书

创建一个/cert/test 文件夹,在该文件夹生成CA证书

mkdir /cert/test
cd /cert/test
openssl genrsa -out ca.key 2048 //生成CA的私钥
//用刚刚生成的私钥生成CA证书
openssl req -x509 -new -nodes -key ca.key -subj "/CN=achao666.xyz" -days 365 -out ca.crt
openssl x509 -in ca.crt -noout -text  //查看证书

说明:命令行中的CN指的是Common Name,小伙伴们如果有自己的域名就可以用域名,没有域名就使用ip地址

截图:img

B.生成Server端的证书

创建一个服务器证书,并将该证书交由CA签名

openssl genrsa -out server.key 2048 //生成server的私钥
//生成server证书请求文件 
openssl req -new -key server.key -subj "/CN=achao666.xyz" -out server.csr
//生成server证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365

截图:
img

C.生成Client端的证书

创建一个客户端证书,并将该证书交由CA签名

openssl genrsa -out client.key 2048 //生成client的私钥
//生成client的证书请求文件
openssl req -new -key client.key -subj "/CN=achao666.xyz" -out client.csr

//创建一个拓展文件
cat > client.ext << EOF
extendedKeyUsage=clientAuth
EOF 

//生成client证书 
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile client.ext -out client.crt -days 356

截图:
img

D.生成浏览器需要的证书格式

生成client证书的pfx格式,需要设置密码

openssl pkcs12 -export -inkey /cert/test/client.key -in /cert/test/client.crt -out client.pfx 
sz client.pfx  //下载到Windows

截图:
img

E.配置Nginx

修改nginx.conf配置,并重启nginx

vi /usr/local/nginx/conf/nginx.conf
/usr/local/nginx/sbin/nginx -s reload //重启nginx

截图:
img

测试

测试浏览器访问

img

无法访问,我们需要安装之前导出的client.pfx文件
img

安装完成再次访问浏览器
img

已经能够成功访问

img

使用Linux shell脚本访问
curl https://achao666.xyz --cacert /cert/test/ca.crt --cert /cert/test/client.crt --key /cert/test/client.key --resolve achao666.xyz:443:139.224.50.94  -k

截图:
img

使用Java程序访问

需生成truststore库文件进行访问,使用jdk自带工具keytool生成

keytool -keystore truststore -keypass 123456 -storepass 123456 -alias achaoCa -import -trustcacerts -file ca.cer //这边需要将ca.crt复制一份并改为ca.cer

截图:
img
img

Java实现
img

三、Java代码块

HttpConfig

import javax.net.ssl.*;
import java.io.FileInputStream;
import java.security.KeyStore;
import java.security.SecureRandom;
import java.util.Optional;

public class HttpConfig {

    public static final String PROTOCOL = "TLS";

    /**
     * 获取keystore
     *
     * @param keystorePath keystore路径
     * @param password     密码
     * @return 密钥库
     * @throws Exception Exception
     */
    private static KeyStore getKeyStore(String keystorePath, String password) throws Exception {
        KeyStore keystore = KeyStore.getInstance("JKS"); //JKS PKCS12
//        KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
        try (FileInputStream in = new FileInputStream(keystorePath);) {
            keystore.load(in, password.toCharArray());
            return keystore;
        }
    }

    /**
     * 获取 SSLSocketFactory
     * @param keyManagerFactory 密钥库工厂
     * @param trustFactory 信任库工厂
     * @return SSLSocketFactory
     * @throws Exception Exception
     */
    public static SSLSocketFactory getSSLSocketFactory(KeyManagerFactory keyManagerFactory,
                                                       TrustManagerFactory trustFactory) throws Exception {

        // 实例化SSL上下文
        SSLContext context = SSLContext.getInstance(PROTOCOL);
        KeyManager[] keyManagers = Optional.ofNullable(keyManagerFactory)
                .map(KeyManagerFactory::getKeyManagers).orElse(null);
        TrustManager[] trustManagers = Optional.ofNullable(trustFactory)
                .map(TrustManagerFactory::getTrustManagers).orElse(null);
        context.init(keyManagers, trustManagers, new SecureRandom());
        return context.getSocketFactory();
    }

    public static TrustManagerFactory getTrustManagersFactory(String trustStorePath, String password) throws Exception {
        // 实例化信任库
        TrustManagerFactory trustFactory = TrustManagerFactory
                .getInstance(TrustManagerFactory.getDefaultAlgorithm());
        KeyStore trustStore = getKeyStore(trustStorePath, password);
        // 初始化信任库
        trustFactory.init(trustStore);
        return trustFactory;
    }

    public static KeyManagerFactory getKeyManagerFactory(String keystorePath, String password) throws Exception {
        KeyManagerFactory factory = KeyManagerFactory
                .getInstance(KeyManagerFactory.getDefaultAlgorithm());
        // 获取密钥库
        KeyStore keyStore = getKeyStore(keystorePath, password);
        // 初始化密钥工厂
        factory.init(keyStore, password.toCharArray());
        return factory;
    }
}

测试类

import org.junit.Test;

import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManagerFactory;
import java.io.DataInputStream;
import java.io.IOException;
import java.net.URL;

public class HttpsRequestTest {
    private String password = "123456";
    private String trustStorePath = "F:\\ca\\nginx\\test\\truststore";
    private String keyStorePath = "F:\\ca\\nginx\\test\\client.pfx";
    private String httpUrl = "https://139.224.50.94";
    @Test
    public void twoWayAuthentication() throws Exception {
        URL url = new URL(httpUrl);
        HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
        // 打开输入输出流
        conn.setDoInput(true);
        //域名校验
        conn.setHostnameVerifier((k, t) -> true);
        // 双向认证
        TrustManagerFactory trustManagersFactory =
                HttpConfig.getTrustManagersFactory(trustStorePath, password);
        KeyManagerFactory keyManagerFactory = HttpConfig
                .getKeyManagerFactory(keyStorePath, password);
        SSLSocketFactory sslSocketFactory = HttpConfig
                .getSSLSocketFactory(keyManagerFactory, trustManagersFactory);
        conn.setSSLSocketFactory(sslSocketFactory);
        conn.connect();
        receiveData(conn);
        conn.disconnect();
    }

    private void receiveData(HttpsURLConnection conn) throws IOException {
        int length = conn.getContentLength();
        byte[] data = null;
        if (length != -1) {
            DataInputStream input = new DataInputStream(conn.getInputStream());
            data = new byte[length];
            input.readFully(data);
            input.close();
            System.out.println(new String(data));
        }
    }
}
'超'想敲代码
关注
专栏目录
关于JAVAnginx双向认证的总结
qq_39319111的博客
12-29 1221
关于JAVAnginx双向认证的总结目录一、 研究目的和简要二、 Openssl生成级联证书第一步:生成相关目录和文件第二步:修改openssl配置第三步:创建根证书第四步:生成服务器证书第五步:生成客户端证书三、 Nginx配置双向认证四、 Java实现双向认证第一种方式:使用httpclient处理:第二种方式使用JDK的类处理:五、 证书关系图 目录 一、 研究目的和简要 二、 Opens...
Java nginx https 双向认证
qq_44952610的博客
04-23 563
Java nginx https 双向认证
【转】HTTPS双向认证指南
最新发布
tpriwwq的专栏
07-20 1348
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。
使用Nginx配置客户端实现SSL双向认证
qq_25855003的博客
08-01 1921
一、Nginx配置客户端SSL双向认证 1. CA 与自签名 创建相关目录 #mkdir ssl #cd ssl 制作 CA 私钥 #openssl genrsa -out ca.key 2048 制作 CA 根证书(公钥) #openssl req -new -x509 -days 3650 -key ca.key -out ca.crt 2. ...
如何在Java中使用Nginx
weixin_46372265的博客
07-16 424
通过本文的介绍,希望大家对在Java应用中使用Nginx有了更深入的了解。无论是基本的反向代理配置,还是高级的性能优化和动态配置修改,都为我们的应用提供了强有力的支持。在现代Web开发中,Nginx作为一个高性能的反向代理服务器,能够有效地提升应用程序的性能和安全性。今天,我将深入探讨如何在Java应用中使用Nginx,通过具体的步骤和代码示例帮助大家掌握这项技术。通过以上步骤,我们可以高效地在Java应用中使用Nginx,并通过合理的配置提升系统的性能和安全性。首先,我们需要在服务器上安装Nginx
Java nginx 双向ssl_nginx配置ssl双向验证的方法
weixin_36028243的博客
02-25 371
1、安装nginx略2、使用openssl实现证书中心由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同Country NameState or Province NameLocality NameOrganization NameOrganizational Unit Name编辑证书中心配置文件vim /etc/pki/tls/open...
java-https客户端双向认证SSL
weixin_43728597的博客
11-22 1871
springboot下https双向认证开发经验
JAVA进阶之路-nginx设置密码
阿猪的博客
06-20 2599
部署elk后 kibana默认是不需要登录账号密码的,所以这样很缺乏安全性,所以我们需要将kibana设置账号密码登录。我们需要用到nginx。下载安装nginx后 我们开始配置。 其实这跟Kibana配置没啥关系,基本只要配置好nginx就可以了!我现在是默认你们配置好了kibana。开始上配置文件! server { listen 80; serve...
基于自签名 CA 实现 Nginx 与 浏览器的双向认证与加密通信
JiaWen的博客
07-14 1025
双向 TLS 认证,是一种安全机制,提供了更高级别的安全性,适用于需要严格身份验证和数据保护的场景......
linux nginx双向认证服务搭建
02-13
### Linux Nginx 双向认证服务搭建与Tomcat SSL步骤详解 #### 一、前言 在现代网络环境中,安全成为了不可忽视的关键因素。为了确保数据传输的安全性,使用HTTPS协议来保护通信内容变得至关重要。本文将详细介绍...
nginx https双向认证
mengting2040的博客
11-21 92
nginx https双向认证
ssl证书(nginx+tomcat+java代码适用)
07-09
ssl自制全套证书(包含服务器端、客户端、ca端的证书,格式有.crt,.key,.truststore,.keystore,.p12,.cer,.pem等类型),当时要配置webservice接口、tomca、nginx通过ssl访问的证书,弄了好久才生成了一套能使用的。下载后将文件解压到磁盘里,配置后访问即可。本套证书在windows上制作的,测试没问题,可以放心使用。client代表客户端的证书,server代表服务器端的证书,ca代表三方公正机构。
TLS双向认证配置(nginx+apache)
weixing100200的专栏
01-07 1400
client 访问apache,apache配置双向认证参数: #Mutual TLS authentication SSLVerifyClient require SSLVerifyDepth 2 深度,客户端证书到根证书的深度 SSLCACertificateFile /etc/pki/tls/certs/abcgkmangcn/rootca.crt (客户端证书对应的根证书) nignx+...
CA认证完整实现步骤
皮卡丘踢球
02-11 6448
(本文参考https://blog.csdn.net/tuzongxun/article/details/88647172) 1、什么是系统安全管理 置于公网的系统,通常都需要一定的安全管理,据我个人理解,这里的安全管理主要分三个方面: 一是应用内的权限控制,比如具体应用的用户名、密码等; 二是应用数据传输过程中的安全机制,例如各种报文的加解密方案; 三是数据传输前的通讯安全机制,保证通讯双方...
JAVA后端线上环境调用接口出现证书不信任:PKIX path building failed
qq_25568881的博客
09-21 2903
JAVA后端线上环境调用接口出现证书不信任:PKIX path building failed 文章目录JAVA后端线上环境调用接口出现证书不信任:PKIX path building failed前言一、测试验证是否无法调通目标接口二、JDK将证书导入证书库总结 前言 目前市面上,比如阿里云购买的HTTPS证书,在浏览器中是可信任的证书,但是对于JAVA程序而言,可能会出现以下错误: javax.net.ssl.SSLHandshakeException: sun.security.validato
java openssl ca_HttpsOpenSSL自建CA证书及签发证书、nginx单向认证双向认证及使用Java访问...
weixin_34769715的博客
03-04 247
0.环境安装了nginx,安装了openssl1.配置和脚本先创建一个demo目录(位置自己选择,我选择建在nginx的目录下):mkdir /etc/nginx/ca-democd/etc/nginx/ca-demo修改SSL配置openssl.cnf(也可能是openssl.conf,不知道在哪可以用find -name / openssl.cnf查找)将dir属性改成你上一步自建的目录,不要...
https java 证书_Java绕过证书访问https的方法
weixin_39621774的博客
02-22 295
代码如下:package httpstest;import java.io.BufferedReader;import java.io.IOException;import java.io.InputStreamReader;import java.io.PrintStream;import java.io.PrintWriter;import java.net.URL;import java.s...
nginx java接口_跨域问题Java方式解决及Nginx方式解决【亲测可行】
weixin_33817046的博客
02-13 555
这两天和前端同事调试微信公众号项目,就遇到了跨域问题;网上相关博客也挺多的,但有很多细节没有点到,在此呢我也再次记录一下解决方式;(算是踩坑日记吧~ ~ ~)!问题发现:页面加载不出来,控制台报错:当你看到类似上面的这种错误提示,基本上就是跨域问题咯~~~恭喜你中奖啦!!! 问题解决方式一 ——Java过滤器:public class SimpleCORSFilter implements Fi...
nginx 双向认证
07-28
Nginx支持双向认证,也称为客户端证书认证。在双向认证中,客户端和服务器之间都需要相互验证身份。下面是实现Nginx双向认证的一般步骤: 1. 生成服务器证书和私钥:首先需要生成服务器的证书和私钥。可以使用OpenSSL命令来生成自签名证书或者通过证书机构获得有效的证书。 2. 配置Nginx服务器:在Nginx的配置文件中,需要指定服务器证书和私钥的路径,并启用SSL/TLS。以下是一个简单示例: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; # 其他配置项 } ``` 3. 生成客户端证书和私钥:为每个客户端生成唯一的证书和私钥。可以使用相同的方法来生成自签名证书或者通过证书机构获得有效的证书。 4. 配置客户端验证:在Nginx的配置文件中,需要配置客户端验证参数。以下是一个示例: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; ssl_client_certificate /path/to/ca.crt; ssl_verify_client on; # 其他配置项 } ``` 在上述示例中,`ssl_client_certificate`指定了CA证书,`ssl_verify_client on`启用了客户端验证。 5. 配置访问控制:如果需要对特定的客户端进行访问控制,可以在配置文件中添加相应的访问限制。 6. 重启Nginx服务器:完成以上步骤后,重新加载或重启Nginx服务器,使配置生效。 通过以上步骤,Nginx将会进行双向认证,客户端和服务器将相互验证身份。需要注意的是,双向认证涉及到证书和私钥的生成、配置和管理,因此需要谨慎操作,并确保证书的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值