Java程序员使用JSSE实现SSL/TLS安全套接字

用JSSE可以像使用普通的套接字一样使用安全套接字。很多情况下客户端要对服务器端的身份进行验证,但是无需向服务器证实自己的身份,这样不用向对方证

Java程序员使用JSSE实现SSL/TLS安全套接字

一、简介

JSSE包含了实现Internet安全通信的一系列包的集合,是SSL和TLS的纯Java实现。用JSSE可以像使用普通的套接字一样使用安全套接字。

1. 一些概念

1.1.1 证书产生方式

证书会描述所有者的一些基本信息,如公司名称、联系人等。证书由所有人以密码形式签名。获取方式一般两个:

  • 权威机构购买证书
  • 自己用JDK的keytool创建自我签名的证书。这种情况下一般为了防止数据被篡改,身份认证不是主要目的。

1.1.2 密钥存储格式转换说明

Java程序员使用JSSE实现SSL/TLS安全套接字

1.1.3 keytool导入 pkcs#12文件

PKCS#12可包含所有私钥、公钥和证书。其以二进制格式存储,也称为 PFX 文件。pfx文件可以直接作为一个keystore使用,如果报告错误:java.io.IOException: failed to decrypt safe contents entry可以通过OpenSSL转换一下:

openssl pkcs12 -in a.pfx -out a.pem
openssl pkcs12 -export -in a.pem -out a1.pfx 
keytool -rfc -list -keystore a1.pfx -storetype pkcs12

1.1.4 Java 相关接口与类图

Java程序员使用JSSE实现SSL/TLS安全套接字

1.1.5 单向认证与双向认证

很多情况下客户端要对服务器端的身份进行验证,但是无需向服务器证实自己的身份,这样不用向对方证实自己身份的通信端就说它处于客户端模式,否则它处理服务器模式。SSLSocket.setUseClientMode(Boolean mode)用于设置客户端模式或服务器端模式。

2. 核心类

1.2.1 SSLSocket和SSLServerSocket

对应socket通讯的就是Socket与ServerSocket,只是表示实现了SSL协议的Socket和ServerSocket,同时它们也是Socket与ServerSocket子类。SSLSocket包含:

  • 设置加密套件
  • 管理SSL会话
  • 处理握手结束时间
  • 设置客户端模式或服务器模式

1.2.2 SSLSocketFactory 和 SSLServerSocketFactory

客户端与服务端Socket工厂,用于生产出需要的实例。SSLSocket和SSLServerSocket对象的创建工作也是给这两个工厂类。

1.2.3 SSLSession

SSL 会话。为了提高通信的效率,SSL协议允许多个SSLSocket共享同一个SSL会话。在同一个会话中,只有第一个打开的SSLSocket需要进行SSL握手,负责生成密钥和交换密钥,其余SSLSocket都共享密钥信息。

1.2.4 SSLContext

SSL上下文。是对整个SSL/TLS协议的封装,表示了安全套接字协议的实现,主要负责设置安全通信过程中的各种信息,如和证书相关的信息,并且负责构建SSLSocketFactory、SSLServerSocketFactory和SSLEngine等工厂类。

1.2.5 SSLEngine

SSL非阻塞引擎。如果要进行NIO通信,使用这个类让通信过程支持非阻塞的安全通信。

1.2.6 KeyManager

密钥管理器。此接口负责选择用于证实自己身份的安全证书,发给通信的另一方。KeyManager对象由KeyManagerFactory工厂类生成。

1.2.7 TrustManager

信任管理器,负责判断决定是否信任对方的安全证书。TrustManager对象由TrustManagerFactory工厂类生成。

1.2.8 KeyStore

用于存放安全证书,一般以文件形式存放,KeyStore负责将证书加载到内存。注意默认情况下KeyStore只加载JKS类型证书,现在keytool默认生成的证书是pkcs12格式,KeyStore加载会提示invalid KeyStore format。

二、 keytool命令行参数

生成p12证书
keytool -genkey -alias myServer -keysize 1024 -validity 3650 -keyalg RSA -dname "CN=localhost" -keypass keypass密码 -storepass sotrepss密码 -keystore myServerCerts.jks
  • genkey:生成一对非对称密钥
  • keyalg : 加密算法
  • keystore : 证书存放路径
  • alias : 密钥对别名,这个别名是公开的
# 创建服务端秘钥 
keytool -genkey -alias nettyServer -keysize 1024 -validity 36500 -keyalg RSA -dname "CN=localhost" -keypass syourkeypass -storepass syourstorepass -keystore serverCerts.jks

新的keytool这里会直接生成pkcs12格式,通过 keytool -list -keystore file.jks 可以看到证书格式。 可以使用下面命令将pkcs12转jks
keytool -v -importkeystore -srckeystore serverCerts.p12 -srcstoretype PKCS12 -destkeystore serverCerts.jks -deststoretype JKS

# 导出服务端秘钥
keytool -export -alias nettyServer -keystore serverCerts.jks -storepass syourstorepass -file serverCert.cer

# 创建客户端秘钥
keytool -genkey -alias nettyClient -keysize 1024 -validity 36500 -keyalg RSA -dname "CN=PF,OU=YJC,O=YJC,L=BJ,S=BJ,C=ZN" -keypass ckeypass -storepass cstorepass -keystore clientCerts.jks

# 导出客户端秘钥
keytool -export -alias nettyClient -keystore clientCerts.jks -file nettyclientCert.cer -storepass cstorepass

# 将客户端的证书导入到服务端的信任证书仓库中
keytool -import -trustcacerts -alias smccServer -file nettyClientCert.cer -storepass storepass -keystore serverCerts.jks

# 将服务端的证书导入到客户端的信任证书仓库中
keytool -import -trustcacerts -alias smccClient -file serverCert.cer -storepass cstorepass -keystore clientCerts.jks

# 查看jks
keytool -list -keystore file.jks
# 打印数字证书
Keytool -printcert -file filename.cer

三、Java实现核心代码

下面是加密证书和验证证书的核心代码(源代码放在码云上了,有需要的同学可以发私信):

public class Auth {
    private static SSLContext sslContext;

    public static SSLContext getSSLContext() throws Exception{
        Properties p = Configuration.getConfig();
        String protocol = p.getProperty("protocol");
        String serverCer = p.getProperty("serverCer");
        String serverCerPwd = p.getProperty("serverCerPwd");
        String serverKeyPwd = p.getProperty("serverKeyPwd");

        // Key Stroe
        KeyStore keyStore = KeyStore.getInstance("JKS");
        FileInputStream f =new FileInputStream(serverCer);
        keyStore.load(f, serverCerPwd.toCharArray());

        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("SunX509");
        keyManagerFactory.init(keyStore, serverKeyPwd.toCharArray());
        KeyManager[] kms = keyManagerFactory.getKeyManagers();

        TrustManager[] tms = null;
        if("2".equals(Configuration.getConfig().getProperty("authority"))){
            String serverTrustCer = p.getProperty("serverTrustCer");
            String serverTrustCerPwd = p.getProperty("serverTrustCerPwd");

            //Trust Key Store
            keyStore = KeyStore.getInstance("JKS");
            keyStore.load(new FileInputStream(serverTrustCer), serverTrustCerPwd.toCharArray());

            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("SunX509");
            trustManagerFactory.init(keyStore);
            tms = trustManagerFactory.getTrustManagers();
        }
        sslContext = SSLContext.getInstance(protocol);
        sslContext.init(kms, tms, null);

        return sslContext;
    }
}

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://itzsg.com/10463.html

(0)
上一篇 2023年 4月 22日 下午11:59
下一篇 2023年 4月 22日 下午11:59

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

联系我们YX

mu99908888

在线咨询: 微信交谈

邮件:itzsgw@126.com

工作时间:时刻准备着!

关注微信