Netty5使用自签证书实现SSL安全连接

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Netty5使用自签证书实现SSL安全连接相关的知识,希望对你有一定的参考价值。

这次使用的Netty是最新的5.0 Alpha2版本,下载地址是:http://dl.bintray.com/netty/downloads/netty-5.0.0.Alpha2.tar.bz2,发布时间是2015年3月,到现在快一年了,咋还不更新呢?有些奇怪……

制作一张自签证书(jks格式)

#keytool -genkey -keysize 2048 -validity 365 -keyalg RSA -dnam e "CN=gornix.com" -keypass 654321 -storepass 123456 -keystore gornix.jks

keytool为JDK提供的生成证书工具

  • -keysize 2048 密钥长度2048位(这个长度的密钥目前可认为无法被暴力破解)
  • -validity 365 证书有效期365天
  • -keyalg RSA 使用RSA非对称加密算法
  • -dname "CN=gornix.com" 设置Common Name为gornix.com,这是我的域名
  • -keypass 654321 密钥的访问密码为654321
  • -storepass 123456 密钥库的访问密码为123456(其实这两个密码也可以设置一样,通常都设置一样,方便记)
  • -keystore gornix.jks 指定生成的密钥库文件为gornix.jks

完了之后就拿到了gornix.jks这个密钥库文件了,把它放到自己的home目录下,比如:/home/guogangj/gornix.jks

在程序初始化的时候生成SSLContext

keyStore ks = KeyStore.getInstance("JKS");
InputStream ksInputStream = new FileInputStream("/home/guogangj/gornix.jks");
ks.load(ksInputStream, "123456".toCharArray());
keyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(ks, "654321".toCharArray());
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(kmf.getKeyManagers(), null, null);

这个过程在整个程序周期只需要做一次,最好try-catch一下,以便检查异常,好了之后保存好sslContext,后面用到。

在ChannelInitializer的initChannel中

@Override
protected void initChannel(SocketChannel socketChannel) throws Exception {
SSLEngine sslEngine = sslContext.createSSLEngine();
sslEngine.setUseClientMode(false); //服务器端模式
sslEngine.setNeedClientAuth(false); //不需要验证客户端
socketChannel.pipeline().addLast("ssl", new SslHandler(sslEngine)); //搞定
//...
}

sslContext就是前面生成的那个sslContext,通常可以用参数的形式传入到ChannelInitializer中。还有,记得把SslHandler放在其它Handler的前面。

完成

搞定了,easy?可见SSL也没什么神秘的,就是在普通的TCP连接基础上包了一层处理而已(但如果要自己实现这层处理那可是相当复杂的),这层处理体现在Netty中就是一个SslHandler,把这个SslHandler加入到TCP连接的处理管线中即可。这篇文章并不是一篇完整的教程,本来我打算把它写得完整一点,但这得花费较长的时间和篇幅,Netty虽然大大简化了Java的网络程序的开发,但要从头到尾讲清楚,也蛮有难度的,学习Netty目前主要有这两本书:国内作者写的《Netty权威指南》和国外作者写的《Netty in Action》,英文好的当然推荐看后者,但两本书都不是针对最新的Netty 5.0所写,所以想深入的话还得看看Netty的源代码和官方文档(个人觉得也不太完善)。以后看看有没有时间,有的话再写些完整的教程出来。

以上是关于Netty5使用自签证书实现SSL安全连接的主要内容,如果未能解决你的问题,请参考以下文章

发生ssl错误 无法建立到该服务器的安全连接

Nginx使用自签证书配置SSL实现HTTPS访问

SSL/TLS深度解析--OpenSSL 生成自签证书

如何将SSL证书设置成受信任的证书

Tencent SSL 数字证书安装部署

使用自签SSL证书会有啥后果