java实现ssl单/双向认证通信[推荐]

Posted zbuger

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了java实现ssl单/双向认证通信[推荐]相关的知识,希望对你有一定的参考价值。

有关SSL的原理和介绍在网上已经有不少,对于Java下使用keytool生成证书,配置SSL通信的教程也非常多。但如果我们不能够亲自动手做一个SSL Sever和SSL Client,可能就永远也不能深入地理解Java环境下,SSL的通信是如何实现的。对SSL中的各种概念的认识也可能会仅限于可以使用的程度。本文通过构造一个简单的SSL Server和SSL Client来讲解Java环境下SSL的通信原理。 

首先我们先回顾一下常规的Java Socket编程。在Java下写一个Socket服务器和客户端的例子还是比较简单的。以下是服务端的代码: 

Java代码  技术分享
  1. package org.bluedash.tryssl;  
  2.   
  3. import java.io.BufferedReader;  
  4. import java.io.IOException;  
  5. import java.io.InputStreamReader;  
  6. import java.io.PrintWriter;  
  7. import java.net.ServerSocket;  
  8. import java.net.Socket;  
  9.   
  10. public class Server extends Thread {  
  11.     private Socket socket;  
  12.   
  13.     public Server(Socket socket) {  
  14.         this.socket = socket;  
  15.     }  
  16.   
  17.     public void run() {  
  18.         try {  
  19.             BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));  
  20.             PrintWriter writer = new PrintWriter(socket.getOutputStream());  
  21.   
  22.             String data = reader.readLine();  
  23.             writer.println(data);  
  24.             writer.close();  
  25.             socket.close();  
  26.         } catch (IOException e) {  
  27.   
  28.         }  
  29.     }  
  30.       
  31.     public static void main(String[] args) throws Exception {  
  32.         while (true) {  
  33.             new Server((new ServerSocket(8080)).accept()).start();  
  34.         }  
  35.     }  
  36. }  


服务端很简单:侦听8080端口,并把客户端发来的字符串返回去。下面是客户端的代码: 

Java代码  技术分享
  1. package org.bluedash.tryssl;  
  2.   
  3. import java.io.BufferedReader;  
  4. import java.io.InputStreamReader;  
  5. import java.io.PrintWriter;  
  6. import java.net.Socket;  
  7.   
  8. public class Client {  
  9.   
  10.     public static void main(String[] args) throws Exception {  
  11.   
  12.         Socket s = new Socket("localhost"8080);  
  13.   
  14.         PrintWriter writer = new PrintWriter(s.getOutputStream());  
  15.         BufferedReader reader = new BufferedReader(new InputStreamReader(s.getInputStream()));  
  16.         writer.println("hello");  
  17.         writer.flush();  
  18.         System.out.println(reader.readLine());  
  19.         s.close();  
  20.     }  
  21.   
  22. }  


客户端也非常简单:向服务端发起请求,发送一个"hello"字串,然后获得服务端的返回。把服务端运行起来后,执行客户端,我们将得到"hello"的返回。 

就是这样一套简单的网络通信的代码,我们来把它改造成使用SSL通信。在SSL通信协议中,我们都知道首先服务端必须有一个数字证书,当客户端连接到服务端时,会得到这个证书,然后客户端会判断这个证书是否是可信的,如果是,则交换信道加密密钥,进行通信。如果不信任这个证书,则连接失败。 

因此,我们首先要为服务端生成一个数字证书。Java环境下,数字证书是用keytool生成的,这些证书被存储在store的概念中,就是证书仓库。我们来调用keytool命令为服务端生成数字证书和保存它使用的证书仓库: 

Bash代码  技术分享
  1. keytool -genkey -v -alias bluedash-ssl-demo-server -keyalg RSA -keystore ./server_ks -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,C=cn" -storepass server -keypass 123123  


这样,我们就将服务端证书bluedash-ssl-demo-server保存在了server_ksy这个store文件当中。有关keytool的用法在本文中就不再多赘述。执行上面的命令得到如下结果: 

Bash代码  技术分享
  1. Generating 1,024 bit RSA key pair and self-signed certificate (SHA1withRSA) with a validity of 90 days  
  2.         for: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn  
  3. [Storing ./server_ks]  


然后,改造我们的服务端代码,让服务端使用这个证书,并提供SSL通信: 

Java代码  技术分享
  1. package org.bluedash.tryssl;  
  2.   
  3. import java.io.BufferedReader;  
  4. import java.io.FileInputStream;  
  5. import java.io.IOException;  
  6. import java.io.InputStreamReader;  
  7. import java.io.PrintWriter;  
  8. import java.net.ServerSocket;  
  9. import java.net.Socket;  
  10. import java.security.KeyStore;  
  11.   
  12. import javax.net.ServerSocketFactory;  
  13. import javax.net.ssl.KeyManagerFactory;  
  14. import javax.net.ssl.SSLContext;  
  15. import javax.net.ssl.SSLServerSocket;  
  16.   
  17. public class SSLServer extends Thread {  
  18.     private Socket socket;  
  19.   
  20.     public SSLServer(Socket socket) {  
  21.         this.socket = socket;  
  22.     }  
  23.   
  24.     public void run() {  
  25.         try {  
  26.             BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));  
  27.             PrintWriter writer = new PrintWriter(socket.getOutputStream());  
  28.   
  29.             String data = reader.readLine();  
  30.             writer.println(data);  
  31.             writer.close();  
  32.             socket.close();  
  33.         } catch (IOException e) {  
  34.   
  35.         }  
  36.     }  
  37.   
  38.     private static String SERVER_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/server_ks";  
  39.     private static String SERVER_KEY_STORE_PASSWORD = "123123";  
  40.   
  41.     public static void main(String[] args) throws Exception {  
  42.         System.setProperty("javax.net.ssl.trustStore", SERVER_KEY_STORE);  
  43.         SSLContext context = SSLContext.getInstance("TLS");  
  44.           
  45.         KeyStore ks = KeyStore.getInstance("jceks");  
  46.         ks.load(new FileInputStream(SERVER_KEY_STORE), null);  
  47.         KeyManagerFactory kf = KeyManagerFactory.getInstance("SunX509");  
  48.         kf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());  
  49.           
  50.         context.init(kf.getKeyManagers(), nullnull);  
  51.   
  52.         ServerSocketFactory factory = context.getServerSocketFactory();  
  53.         ServerSocket _socket = factory.createServerSocket(8443);  
  54.         ((SSLServerSocket) _socket).setNeedClientAuth(false);  
  55.   
  56.         while (true) {  
  57.             new SSLServer(_socket.accept()).start();  
  58.         }  
  59.     }  
  60. }  


可以看到,服务端的Socket准备设置工作大大增加了,增加的代码的作用主要是将证书导入并进行使用。此外,所使用的Socket变成了SSLServerSocket,另外端口改到了8443(这个不是强制的,仅仅是为了遵守习惯)。另外,最重要的一点,服务端证书里面的CN一定和服务端的域名统一,我们的证书服务的域名是localhost,那么我们的客户端在连接服务端时一定也要用localhost来连接,否则根据SSL协议标准,域名与证书的CN不匹配,说明这个证书是不安全的,通信将无法正常运行。 

有了服务端,我们原来的客户端就不能使用了,必须要走SSL协议。由于服务端的证书是我们自己生成的,没有任何受信任机构的签名,所以客户端是无法验证服务端证书的有效性的,通信必然会失败。所以我们需要为客户端创建一个保存所有信任证书的仓库,然后把服务端证书导进这个仓库。这样,当客户端连接服务端时,会发现服务端的证书在自己的信任列表中,就可以正常通信了。 

因此现在我们要做的是生成一个客户端的证书仓库,因为keytool不能仅生成一个空白仓库,所以和服务端一样,我们还是生成一个证书加一个仓库(客户端证书加仓库): 

Bash代码  技术分享
  1. keytool -genkey -v -alias bluedash-ssl-demo-client -keyalg RSA -keystore ./client_ks -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,C=cn" -storepass client -keypass 456456  


结果如下: 

Bash代码  技术分享
  1. Generating 1,024 bit RSA key pair and self-signed certificate (SHA1withRSA) with a validity of 90 days  
  2.         for: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn  
  3. [Storing ./client_ks]  


接下来,我们要把服务端的证书导出来,并导入到客户端的仓库。第一步是导出服务端的证书: 







































以上是关于java实现ssl单/双向认证通信[推荐]的主要内容,如果未能解决你的问题,请参考以下文章

ssl认证证书SSL双向认证java实现keytool创建证书

[转帖]nginx配置ssl加密(单/双向认证部分https)

java中关于SSL/TSL的介绍和如何实现SSL Socket双向认证

Java-HttpClient通过证书实现SSL双向认证(客户端)

关于java的SSL https协议

tomcat配置SSL双向认证