技术文档

搜索热词:

文档中心

Java实现 SSL双向认证

SSL 协议的握手协议分为单向认证和双向认证,其中双向认证具有多种实现方式,下面介绍关于Java如何实现 SSL双向认证。

Java实现 SSL双向认证

模拟场景:
Server端和Client端通信,需要进行授权和身份的验证,即Client只能接受Server的消息,Server只能接受Client的消息。

实现技术:
JSSE(Java Security Socket Extension)
是Sun为了解决在Internet上的安全通讯而推出的解决方案。它实现了SSL和TSL(传输层安全)协议。在JSSE中包含了数据加密,服务器验证,消息完整性和客户端验证等技术。通过使用JSSE,开发人员可以在客户机和服务器之间通过TCP/IP协议安全地传输数据。

 

为了实现消息认证。

Server需要:
1)KeyStore: 其中保存服务端的私钥
2)Trust KeyStore:其中保存客户端的授权证书
同样,Client需要:
1)KeyStore:其中保存客户端的私钥
2)Trust KeyStore:其中保存服务端的授权证书

 

在这里我还是推荐使用Java自带的keytool命令,去生成这样信息文件。当然目前非常流行的开源的生成SSL证书的还有OpenSSL。OpenSSL用C语言编写,跨系统。但是我们可能在以后的过程中用java程序生成证书的方便性考虑,还是用JDK自带的keytool。
1)生成服务端私钥,并且导入到服务端KeyStore文件中
keytool -genkey -alias serverkey -keystore kserver.keystore
过程中,分别需要填写,根据需求自己设置就行
keystore密码:123456
名字和姓氏:jin
组织单位名称:none
组织名称:none
城市或区域名称:BJ
州或省份名称:BJ
国家代码:CN
serverkey私钥的密码,不填写和keystore的密码一致。这里千万注意,直接回车就行了,不用修改密码。否则在后面的程序中以及无法直接应用这个私钥,会报错。

 

 

就可以生成kserver.keystore文件
server.keystore是给服务端用的,其中保存着自己的私钥

2)根据私钥,导出服务端证书
keytool -export -alias serverkey -keystore kserver.keystore -file server.crt
server.crt就是服务端的证书

3)将服务端证书,导入到客户端的Trust KeyStore中
keytool -import -alias serverkey -file server.crt -keystore tclient.keystore
tclient.keystore是给客户端用的,其中保存着受信任的证书

采用同样的方法,生成客户端的私钥,客户端的证书,并且导入到服务端的Trust KeyStore中
1)keytool -genkey -alias clientkey -keystore kclient.keystore
2)keytool -export -alias clientkey -keystore kclient.keystore -file client.crt
3)keytool -import -alias clientkey -file client.crt -keystore tserver.keystore

如此一来,生成的文件分成两组
服务端保存:kserver.keystore tserver.keystore
客户端保存:kclient.keystore tclient.kyestore

 

 

以下是通过Java Socket通信程序来验证我们生成的证书是否可用。

客户端:

客户端代码

  1. packageexamples.ssl;
  3. importjava.io.BufferedInputStream;
  4. importjava.io.BufferedOutputStream;
  5. importjava.io.FileInputStream;
  6. importjava.io.IOException;
  7. importjava.io.InputStream;
  8. importjava.io.OutputStream;
  9. importjava.security.KeyStore;
  11. import.ssl.KeyManagerFactory;
  12. import.ssl.SSLContext;
  13. import.ssl.SSLSocket;
  14. import.ssl.TrustManagerFactory;
  16. /**
  17. *SSLClient
  18. *
  19. */
  20. publicclassSSLClient{
  22. privatestaticfinalStringDEFAULT_HOST=“127.0.0.1”;
  23. privatestaticfinalintDEFAULT_PORT=7777;
  25. privatestaticfinalStringCLIENT_KEY_STORE_PASSWORD=“123456”;
  26. privatestaticfinalStringCLIENT_TRUST_KEY_STORE_PASSWORD=“123456”;
  28. privateSSLSocketsslSocket;
  30. /**
  31. *启动客户端程序
  32. *
  33. *@paramargs
  34. */
  35. publicstaticvoidmain(String[]args){
  36. SSLClientclient=newSSLClient();
  37. init();
  38. process();
  39. }
  41. /**
  42. *通过sslsocket与服务端进行连接,并且发送一个消息
  43. */
  44. publicvoidprocess(){
  45. if(sslSocket==null){
  46. out.println(“ERROR”);
  47. return;
  48. }
  49. try{
  50. InputStreaminput=sslSocket.getInputStream();
  51. OutputStreamoutput=sslSocket.getOutputStream();
  53. BufferedInputStreambis=newBufferedInputStream(input);
  54. BufferedOutputStreambos=newBufferedOutputStream(output);
  56. write(“ClientMessage”.getBytes());
  57. flush();
  59. byte[]buffer=newbyte[20];
  60. read(buffer);
  61. out.println(newString(buffer));
  63. close();
  64. }catch(IOExceptione){
  65. out.println(e);
  66. }
  67. }
  69. /**
  70. *<ul>
  71. *<li>ssl连接的重点:</li>
  72. *<li>初始化SSLSocket</li>
  73. *<li>导入客户端私钥KeyStore,导入客户端受信任的KeyStore(服务端的证书)</li>
  74. *</ul>
  75. */
  76. publicvoidinit(){
  77. try{
  78. SSLContextctx=SSLContext.getInstance(“SSL”);
  80. KeyManagerFactorykmf=KeyManagerFactory.getInstance(“SunX509”);
  81. TrustManagerFactorytmf=TrustManagerFactory.getInstance(“SunX509”);
  83. KeyStoreks=KeyStore.getInstance(“JKS”);
  84. KeyStoretks=KeyStore.getInstance(“JKS”);
  86. load(newFileInputStream(“E://kclient.keystore”),CLIENT_KEY_STORE_PASSWORD.toCharArray());
  87. load(newFileInputStream(“E://tclient.keystore”),CLIENT_TRUST_KEY_STORE_PASSWORD.toCharArray());
  89. init(ks,CLIENT_KEY_STORE_PASSWORD.toCharArray());
  90. init(tks);
  92. init(kmf.getKeyManagers(),tmf.getTrustManagers(),null);
  94. sslSocket=(SSLSocket)ctx.getSocketFactory().createSocket(DEFAULT_HOST,DEFAULT_PORT);
  95. }catch(Exceptione){
  96. out.println(e);
  97. }
  98. }
  100. }

 

服务器端:

Java代码

  1. packageexamples.ssl;
  3. importjava.io.BufferedInputStream;
  4. importjava.io.BufferedOutputStream;
  5. importjava.io.FileInputStream;
  6. importjava.io.InputStream;
  7. importjava.io.OutputStream;
  8. importjava.net.Socket;
  9. importjava.security.KeyStore;
  11. import.ssl.KeyManagerFactory;
  12. import.ssl.SSLContext;
  13. import.ssl.SSLServerSocket;
  14. import.ssl.TrustManagerFactory;
  16. /***********************************************************************************************************************
  17. *<ul>
  18. *<li>1)生成服务端私钥</li>
  19. *<li>keytool-genkey-aliasserverkey-keystorekserver.keystore</li>
  20. *<li>2)根据私钥,到处服务端证书</li>
  21. *<li>keytool-exoport-aliasserverkey-keystorekserver.keystore-fileserver.crt</li>
  22. *<li>3)把证书加入到客户端受信任的keystore中</li>
  23. *<li>keytool-import-aliasserverkey-fileserver.crt-keystoretclient.keystore</li>
  24. *</ul>
  25. **********************************************************************************************************************/
  27. /**
  28. *SSLServer
  29. *
  30. */
  31. publicclassSSLServer{
  33. privatestaticfinalintDEFAULT_PORT=7777;
  35. privatestaticfinalStringSERVER_KEY_STORE_PASSWORD=“123456”;
  36. privatestaticfinalStringSERVER_TRUST_KEY_STORE_PASSWORD=“123456”;
  38. privateSSLServerSocketserverSocket;
  40. /**
  41. *启动程序
  42. *
  43. *@paramargs
  44. */
  45. publicstaticvoidmain(String[]args){
  46. SSLServerserver=newSSLServer();
  47. init();
  48. start();
  49. }
  51. /**
  52. *<ul>
  53. *<li>听SSLServerSocket</li>
  54. *<li>由于该程序不是演示Socket监听,所以简单采用单线程形式,并且仅仅接受客户端的消息,并且返回客户端指定消息</li>
  55. *</ul>
  56. */
  57. publicvoidstart(){
  58. if(serverSocket==null){
  59. out.println(“ERROR”);
  60. return;
  61. }
  62. while(true){
  63. try{
  64. Sockets=serverSocket.accept();
  65. InputStreaminput=s.getInputStream();
  66. OutputStreamoutput=s.getOutputStream();
  68. BufferedInputStreambis=newBufferedInputStream(input);
  69. BufferedOutputStreambos=newBufferedOutputStream(output);
  71. byte[]buffer=newbyte[20];
  72. read(buffer);
  73. out.println(newString(buffer));
  75. write(“ServerEcho”.getBytes());
  76. flush();
  78. close();
  79. }catch(Exceptione){
  80. out.println(e);
  81. }
  82. }
  83. }
  85. /**
  86. *<ul>
  87. *<li>ssl连接的重点:</li>
  88. *<li>初始化SSLServerSocket</li>
  89. *<li>导入服务端私钥KeyStore,导入服务端受信任的KeyStore(客户端的证书)</li>
  90. *</ul>
  91. */
  92. publicvoidinit(){
  93. try{
  94. SSLContextctx=SSLContext.getInstance(“SSL”);
  96. KeyManagerFactorykmf=KeyManagerFactory.getInstance(“SunX509”);
  97. TrustManagerFactorytmf=TrustManagerFactory.getInstance(“SunX509”);
  99. KeyStoreks=KeyStore.getInstance(“JKS”);
  100. KeyStoretks=KeyStore.getInstance(“JKS”);
  102. load(newFileInputStream(“E://kserver.keystore”),SERVER_KEY_STORE_PASSWORD.toCharArray());
  103. load(newFileInputStream(“E://tserver.keystore”),SERVER_TRUST_KEY_STORE_PASSWORD.toCharArray());
  105. init(ks,SERVER_KEY_STORE_PASSWORD.toCharArray());
  106. init(tks);
  108. init(kmf.getKeyManagers(),tmf.getTrustManagers(),null);
  110. serverSocket=(SSLServerSocket)ctx.getServerSocketFactory().createServerSocket(DEFAULT_PORT);
  111. setNeedClientAuth(true);
  112. }catch(Exceptione){
  113. printStackTrace();
  114. }
  115. }
  116. }

SSL证书采用了技术含量比较高的加密技术。日后GDCA()将会持续为大家推荐更多关于SSL证书的技术知识。让大家正确认识SSL证书,快速无误部署HTTPS安全协议。更多资讯,请关注GDCA。

相关搜索

  • java 读取pfx证书信息
  • java读取pfx文件
  • java生成pfx证书
  • java pfx证书
  • java pfx证书 签名
  • java 读取pfx
  • java 读取 cer证书
  • java读取证书文件
  • java 读取证书

猜你喜欢

  • 联系方式

微信客服

QQ
客服

QQ:800-70898

微信
客服
电话
客服

156-3892-6688

咨询
投诉
©2020-2024   万云SSL证书  (www.sslssl.com.cn)  万云科技   豫ICP备2020034358号-10