基于springboot 根据ca.crt、client.crt和client.key文件实现与服务端https双向认证通讯

已于 2024-01-16 16:10:31 修改
阅读量550 收藏 7
点赞数 9
文章标签: spring boot https ssl
于 2024-01-11 15:06:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45762586/article/details/135528322
版权 
* 基于springboot 根据ca.crt、client.crt和client.key文件实现与服务端https通讯
* 服务端提供了三个文件需要进行TLS方式通讯,三个文件分别为ca.crt、client.crt、client.key:
* ca.crt 为服务端证书
* client.crt 为服务端分配给客户端的证书
* client.key 为服务端分配给客户端证书私钥
引入pom文件:
<dependency>
      <groupId>org.apache.httpcomponents</groupId>
      <artifactId>httpclient</artifactId>
      <version>4.5.13</version>
</dependency>
实现:
import com.alibaba.fastjson.JSONObject;
import org.apache.http.HttpEntity;
import org.apache.http.client.config.RequestConfig;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.conn.ssl.NoopHostnameVerifier;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.entity.StringEntity;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
import org.springframework.stereotype.Component;
import org.springframework.util.StreamUtils;
import sun.misc.BASE64Decoder;

import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManagerFactory;
import java.io.*;
import java.nio.charset.StandardCharsets;
import java.security.KeyFactory;
import java.security.KeyStore;
import java.security.PrivateKey;
import java.security.SecureRandom;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.security.spec.PKCS8EncodedKeySpec;

@Component
public class CertificateHttpsTools {
    private static Logger logger = LogManager.getLogger(CertificateHttpsTools.class);


    public static final String CA_PATH = "C:\\Users\\kff\\Documents\\WeChat Files\\wxid_dxcp7wdj1nfg22\\FileStorage\\File\\2024-01\\certify_1228(1)\\certify_1228\\root\\ca.crt";
    public static final String CRT_PATH = "C:\\Users\\kff\\Documents\\WeChat Files\\wxid_dxcp7wdj1nfg22\\FileStorage\\File\\2024-01\\certify_1228(1)\\certify_1228\\client\\client.crt";
    public static final String KEY_PATH = "C:\\Users\\kff\\Documents\\WeChat Files\\wxid_dxcp7wdj1nfg22\\FileStorage\\File\\2024-01\\certify_1228(1)\\certify_1228\\client\\client.key";
    public static final String PASSWORD = "changeit";

    /**
     * 在这段代码中,首先加载了CA(证书颁发机构)的证书,用于验证服务器的身份。然后,加载了客户端的证书和私钥,用于让服务器验证客户端的身份。
     *
     * 然后,这段代码创建了一个SSL上下文,并使用先前加载的密钥和信任管理器初始化它。最后,使用这个SSL上下文创建了一个SSL连接套接字工厂。
     *
     * 注意,这个代码片段没有展示如何获取客户端私钥的具体实现,这可能是在getPrivateKey方法中完成的。此外,这个代码片段也没有处理可能的异常和错误,例如文件不存在、证书无效等。
     * @return
     * @throws Exception
     */
    public static SSLConnectionSocketFactory getSSLSocktetBidirectional() throws Exception {
        SSLConnectionSocketFactory sslsf = null;
        try {
            //CA证书用于对服务器进行身份验证 CA certificate is used to authenticate server
            //加载CA证书,用于验证服务器的身份,X.509证书包含公钥、身份信息和签名信息,当用户与服务器交互时,将生成加密密钥对,并将其散列,再将其与数字证书请求一起发送到证书颁发机构(CA)。CA是受信任的第三方实体,它将自己的公钥绑定到数字证书上。根据X.509标准,数字证书包含特定的数据,例如用户设备的位置、证书的序列号、CA的名称、使用的特定加密算法等等。
            CertificateFactory cAf = CertificateFactory.getInstance("X.509");
            FileInputStream caIn = new FileInputStream(CA_PATH);
            X509Certificate ca = (X509Certificate) cAf.generateCertificate(caIn);

            KeyStore caKs = KeyStore.getInstance("JKS");
            caKs.load(null, null);
            caKs.setCertificateEntry("ca-certificate", ca);
            TrustManagerFactory tmf = TrustManagerFactory.getInstance("PKIX");
            tmf.init(caKs);

            //加载客户端密钥和证书 并发送到服务器,以便它可以对我们进行身份验证 client key and certificates are sent to server so it can authenticate us
            CertificateFactory cf = CertificateFactory.getInstance("X.509");
            FileInputStream crtIn = new FileInputStream(CRT_PATH);
            X509Certificate caCert = (X509Certificate) cf.generateCertificate(crtIn);
            crtIn.close();

            KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
            ks.load(null, null);
            ks.setCertificateEntry("certificate", caCert);
            ks.setKeyEntry("private-key", getPrivateKey(KEY_PATH), PASSWORD.toCharArray(), new java.security.cert.Certificate[]{caCert});
            KeyManagerFactory kmf = KeyManagerFactory.getInstance("PKIX");
            kmf.init(ks, PASSWORD.toCharArray());

            //最后,创建SSL sockets的工厂类finally, create SSL socket factory
            SSLContext context = SSLContext.getInstance("TLSv1.2");
            context.init(kmf.getKeyManagers(), tmf.getTrustManagers(), new SecureRandom());

            sslsf = new SSLConnectionSocketFactory(context, null, null,
                    NoopHostnameVerifier.INSTANCE);
        } catch (Exception e) {
            logger.error("证书加载失败");
            e.printStackTrace();
        }
        return sslsf;
    }

    private static PrivateKey getPrivateKey(String path) throws Exception {
        BASE64Decoder decoder = new BASE64Decoder();
        byte[] buffer = decoder.decodeBuffer(getPem(path));
        // 创建PKCS8EncodedKeySpec对象,用于封装解码后的密钥数据
        PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(buffer);
        // 创建KeyFactory对象,指定密钥算法为RSA(如果是EC算法,则指定为"EC")
        KeyFactory keyFactory = KeyFactory.getInstance("RSA");
        // 生成私钥对象
        return keyFactory.generatePrivate(keySpec);

    }

    private static String getPem(String path) throws Exception {
        FileInputStream fin = new FileInputStream(path);
        BufferedReader br = new BufferedReader(new InputStreamReader(fin));
        String readLine = null;
        StringBuilder sb = new StringBuilder();
        while ((readLine = br.readLine()) != null) {
            if (readLine.charAt(0) == '-') {
                continue;
            } else {
                sb.append(readLine);
                sb.append('\r');
            }
        }
        fin.close();
        return sb.toString();
    }

    public static String httpsPost(String url, String jsonParam) throws IOException {
        CloseableHttpClient httpClient = null;
        String result = null;
        logger.info("请求数据:" + jsonParam);
        try {
            //加载证书
            SSLConnectionSocketFactory sslsf = getSSLSocktetBidirectional();
            //设置认证信息到httpclient
            httpClient = HttpClients.custom().setSSLSocketFactory(sslsf).build();
        } catch (Exception e) {
            logger.error("证书读取失败");
            e.printStackTrace();
        }
        // 根据默认超时限制初始化requestConfig
        RequestConfig requestConfig = RequestConfig.custom().setSocketTimeout(25000).setConnectTimeout(25000).build();
        //post通讯初始化
        HttpPost httpPost = new HttpPost(url);
        // 设置报文头 得指明使用UTF-8编码,否则到API服务器XML的中文不能被成功识别
        httpPost.addHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
        //添加请求报文体
        StringEntity reqentity = new StringEntity(jsonParam, "UTF-8");
        httpPost.setEntity(reqentity);
        // 设置请求器的配置
        httpPost.setConfig(requestConfig);
        try {
            CloseableHttpResponse response = null;
            InputStream reqin = null;
            try {
                //打印请求报文体
                reqin = httpPost.getEntity().getContent();
                String reqBbody = StreamUtils.copyToString(reqin, StandardCharsets.UTF_8);
                logger.info("请求数据:" + reqBbody);
                //与服务端通讯
                response = httpClient.execute(httpPost);
                //打印通讯状态
                logger.info(JSONObject.toJSONString(response.getStatusLine()));
                HttpEntity entity = response.getEntity();
                InputStream in = null;
                try {
                    in = entity.getContent();
                    String rspBbody = StreamUtils.copyToString(in, StandardCharsets.UTF_8);
                    logger.info("应答为:" + rspBbody);
                    in.close();
                    result = rspBbody;
                    // result = EntityUtils.toString(entity, "UTF-8");
                } catch (IOException e) {
                    logger.error("服务端应答信息读取失败");
                    e.printStackTrace();
                } finally {
                    if (in != null) {
                        in.close();
                    }
                }
            } catch (IOException e) {
                logger.error("与服务端通讯失败");
                e.printStackTrace();
            } finally {
                try {
                    //释放资源
                    if (httpClient != null) {
                        httpClient.close();
                    }
                    if (response != null) {
                        response.close();
                    }
                    if (reqin != null) {
                        reqin.close();
                    }
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        } finally {
            httpPost.abort();
        }
        return result;
    }

    public static String httpsGet(String url, String param) throws IOException {
        CloseableHttpClient httpClient = null;
        String result = null;
        logger.info("请求数据:" + param);
        try {
            //加载证书
            SSLConnectionSocketFactory sslsf = getSSLSocktetBidirectional();
            //设置认证信息到httpclient
            httpClient = HttpClients.custom().setSSLSocketFactory(sslsf).build();
        } catch (Exception e) {
            logger.error("证书读取失败");
            e.printStackTrace();
        }
        // 根据默认超时限制初始化requestConfig
        RequestConfig requestConfig = RequestConfig.custom().setSocketTimeout(25000).setConnectTimeout(25000).build();
        //get通讯初始化
        //HttpGet httpGet = new HttpGet(url + "?" + param);
        HttpGet httpGet = new HttpGet(url);
        // 设置报文头 得指明使用UTF-8编码,否则到API服务器XML的中文不能被成功识别
        httpGet.addHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
        // 设置请求器的配置
        httpGet.setConfig(requestConfig);
        try {
            CloseableHttpResponse response = null;
            InputStream reqin = null;
            try {
                //与服务端通讯
                response = httpClient.execute(httpGet);
                //打印通讯状态
                logger.info(JSONObject.toJSONString(response.getStatusLine()));
                HttpEntity entity = response.getEntity();
                InputStream in = null;
                try {
                    in = entity.getContent();
                    String rspBbody = StreamUtils.copyToString(in, StandardCharsets.UTF_8);
                    logger.info("应答为:" + rspBbody);
                    in.close();
                    result = rspBbody;
                    // result = EntityUtils.toString(entity, "UTF-8");
                } catch (IOException e) {
                    logger.error("服务端应答信息读取失败");
                    e.printStackTrace();
                } finally {
                    if (in != null) {
                        in.close();
                    }
                }
            } catch (IOException e) {
                logger.error("与服务端通讯失败");
                e.printStackTrace();
            } finally {
                try {
                    //释放资源
                    if (httpClient != null) {
                        httpClient.close();
                    }
                    if (response != null) {
                        response.close();
                    }
                    if (reqin != null) {
                        reqin.close();
                    }
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        } finally {
            httpGet.abort();
        }
        return result;
    }


    public static void main(String[] args) {
        try {
            httpsPost("https://10.44.111.113:8443/hi_", "go go go");
//            httpsGet("https://10.44.111.113:8443/hi", "");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}
运行结果:

参考文章:https://www.cnblogs.com/telwanggs/p/16561913.html

weixin_45762586
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
rootCA.crthttps代理协议
08-02
https代理协议
springboot开启https,tomcat开启https,JSK .cer .crt .keyPFX证书格式说明
热门推荐
【小石头的茅坑】
05-30 29万+
https://www.cnblogs.com/wanghaoyuhappy/p/5267702.html
springboot2.0 配置ssl证书详解
lqk1603的专栏
08-31 2276
ssl证书
抓包Android 7.0+将ca证书导入到系统(设置为系统证书),以及删除【用户凭据】证书
键盘的起始页
02-01 1万+
一、证书操作 1、查看证书 ① 查看crt\der格式证书 openssl x509 -in FiddlerRoot.crt -inform DER -noout -text ② 查看pem证书 openssl x509 -in certificate.pem -inform pem -noout -text 2、证书转换 ① crt/der转pem openssl x509 -in FiddlerRoot.crt -inform DER -out certificate.pem
springboot配置ssl证书,支持https
esunny的专栏
11-08 892
本人uos20,按照网上指导安装openssl.查看openssl版本得到结果: OpenSSL 1.1.1t 7 Feb 2023。
Debian 10.x自签发CA证书与Apache建立HTTPS安全连接网站
小马学习笔记
02-16 5452
环境概述 Debian 10.x 安装apache服务 Client可供管理员使用,有三台服务器Rserver,Server01,Server04 Client:10.10.100.x(DHCP获取) Rserver: CA签发方 Server01:172.16.100.201 (CA使用方) Server04:192.168.10.4 (CA使用方) 需求概述  由Server01,04提供www.sdskills.com  skills公司的门户网站;  使用apache服务;  网页文件
JAVA实现发送HTTPS请求(SSL双向认证
qq_36313856的博客
12-20 2万+
一、项目背景 Java项目需要作为客户端发起HTTPS请求访问服务端,并且需要携带证书进行SSL双向认证,当前提供的证书相关文件有:ca.crtca.keyclient.crtclient.key、server.crt、server.key 二、实现步骤 1、对客户端证书和私钥进行打包处理(需要输入密码,之后在代码中需要用到该密码) openssl pkcs12 -export clcerts -in client.crt -inkey client.key -out client.p12 2、.p
SpringBoot集成Spring Security——【认证流程】
ITxiaobaibai的博客
11-13 1893
Spring Security——认证流程
springboot整合https实现双向认证
flyfun123的博客
09-08 1038
从创建证书到具体调用,亲手验证过了
linux导出mysql下ssl证书_linux下生成httpscrtkey证书
weixin_42682754的博客
02-17 391
今天在配置kibana权限设置时,kibana要求使用https链接。于是总结了一下linux下openssl生成 签名的步骤:x509证书一般会用到三类文,key,csr,crtKey是私用密钥openssl格,通常是rsa算法。Csr是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定一个密钥。crtCA认证后的证书文,(windows下面的,其实...
Https 工具类
Gblfy_Blog
05-13 1112
package com.gblfy.qywx.utils; import java.io.ByteArrayOutputStream; import java.io.DataOutputStream; import java.io.IOException; import java.io.InputStream; import java.net.URL; import java.security.KeyManagementException; import java.security.NoSuchAlgori
基于Java和Python实现简单的CA认证系统.zip
06-13
这是软件大型实验周的课设作品,用来实现一个简单的 CA 系统,它包含以下功能: 证书生成:用户提供 Certificate Signing Request (CSR)和 公钥后,系统会自动为用户生成证书并通过邮箱发放,支持 用于 SSL 和代码...
rootca.crt
04-07
D:\Java1.8\jdk1.8.0_20_64\bin\rootca.crt 证书
CA.zip_CA_CA认证_双向认证_认证
09-22
java资料,设置CA双向认证,ssh的设置
微信支付商户证书rootca.pem文件
02-29
微信支付商户证书cert.zip中的rootca.pem文件。根据微信支付官方的信息:“由于绝大部分操作系统已内置了微信支付服务器证书的根CA证书, 2018年3月6日后, 不再提供CA证书文件(rootca.pem)下载。”
Spring Boot 统一数据返回格式:优化前后端开发协作的利器
最新发布
良月柒
04-29 242
通过本文的介绍,我们了解了Spring Boot中统一数据返回格式的重要性,以及如何设计和处理统一的数据返回格式。统一的数据返回格式可以使得接口返回的数据格式规范、统一、易于理解和处理,提高了前后端开发的效率和协作效果。希望本文能够帮助你更好地理解和应用Spring Boot中的统一数据返回格式。
快速构建Spring boot项目
Fxdll的博客
04-22 530
2、运行4、开发环境热部署查看目前已有的依赖。
# 使用 spring boot 时,@Autowired 注解 自动装配注入时,变量报红解决方法:
段子手168的博客
04-29 141
# 使用 spring boot 时,@Autowired 注解 自动装配注入时,变量报红解决方法:
spring boot的项目+nginx,怎么预防点击劫持(clicekJacking)
keyboard专栏
04-23 588
通过这些措施,你可以在Spring Boot和Nginx层面有效防御点击劫持攻击。综合使用这些技术能够确保你的应用不仅安全,还能适应各种不同的部署环境和安全需求。这样的配置不仅增加了安全性,也提高了应用的健壮性。
两台nginx,一台做服务端,一台做客户端,实现双向认证并使用证书链校验,怎么配置
06-10
首先,需要在服务端和客户端生成自己的证书和私钥,并将证书和私钥放到对应的服务器上。 接下来是配置过程: 1. 配置服务端 a. 在 nginx 配置中增加以下内容: ``` ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; ssl_client_certificate /path/to/ca.crt; ssl_verify_client on; ``` 其中,`ssl_certificate` 和 `ssl_certificate_key` 分别指定服务端证书和私钥的路径,`ssl_client_certificate` 指定 CA 证书的路径,`ssl_verify_client on` 开启双向认证。 b. 在 server 配置中增加以下内容: ``` listen 443 ssl; ``` 2. 配置客户端 a. 在 nginx 配置中增加以下内容: ``` ssl_certificate /path/to/client.crt; ssl_certificate_key /path/to/client.key; ssl_client_certificate /path/to/ca.crt; ssl_verify_client on; ``` 其中,`ssl_certificate` 和 `ssl_certificate_key` 分别指定客户端证书和私钥的路径,`ssl_client_certificate` 指定 CA 证书的路径,`ssl_verify_client on` 开启双向认证。 b. 在 server 配置中增加以下内容: ``` location / { proxy_pass https://server-ip:443; } ``` 其中,`server-ip` 指定服务端的 IP 地址。 3. 配置证书链校验 在上述的配置中,配置了 `ssl_client_certificate`,这个证书是 CA 证书,如果需要使用证书链校验,需要将 CA 的证书链加入到 `ca.crt` 文件中。 将 CA 证书链加入到 `ca.crt` 文件中的方法是:将所有的 CA 证书用文本编辑器打开,依次将其内容拷贝到 `ca.crt` 文件中,即可完成证书链的配置。 注意:证书链中的证书顺序很重要,必须按照从下往上的顺序排列。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值