证书使用java进行双向认证的ssl链接及使用openssl生产证书链附源程序
这几天被SSL和证书搞得头昏脑胀的。不过还好终于把这个 SSL搞定了。
用SSL进行双向身份验证意思就是在客户机连接服务器时 链接双方都要对彼此的数字证书进行验证保证这是经过授权的才能够连接(我们链接一般的 SSL时采用的是单向验证客户机只验证服务器的证书服务器不验证客户机的证书。而连接网上银行时使用的 U盾就是用来存储进行双向验证所需要的客户端证书的)。
JDK里面内置了一个数字证书生产工具 keytool。但是这个工具只能生成自签名的数字证书。所谓自签名就是指证书只能保证自己是完整的 没有经过非法修改的。 但是无法保证这个证书是属于谁的。其实用这种自签名的证书也是可以进行双向验证的 (用keytool生成的自签名证书进行双向验证请看这里 向这位仁兄致意〜 )但是这种验证有一个缺点对于每一个要链接的服务器都要保存一个证书的验证副本。 而且一旦服务器更换证书所有客户端就需要重新部署这些副本。对于比较大型的应用来说这一点是不可接受的。所以就需要证书链进行双向认证。 证书链是指对证书的签名又一个预先部署的 众所周知的签名方签名完成这样每次需要验证证书时只要用这个公用的签名方的公钥进行验证就可以了。 比如我们使用的浏览器就保存了几个常用的 CA_ROOT每次连接到网站时只要这个网站的证书是经过这些CA_ROOT签名过的。就可以通过验证了。
但是这些共用的CA_ROOT的服务不是免费的。而且价格不菲。所以我们有必要自己生成一个CA_ROOT的密钥对然后部署应用时只要把这个C A_RO O T的私钥部署在所有节点就可以完成验证了。要进行CA_ROOT的生成需要OpenSSL()。你也可以在找到Windows下的版本
安装好OpenS SL以后就可以生成证书链了我写了一个 BAT解决这些东西
@echo offset Cset PWD_SERVER_KS=serverks
set PWD_SERVER_KEY=serverkeyset PWD_CLIENT_KS=clie ntks
set PWD_CLIENT_KEY=clie ntkeyif not exist (echo Generating a ca root key file. . .ope nssl req-new-x509-keyout -out -config%CONFIG%
)else(echo already exists. . .
) if not exist (
echo Generating server's private key. . .keytool -ge nkey-alias log on_server_private_key-validity 365-keyalg RSA-keysize 1024-keystore-keypass%PWD_SERVER_KEY%-storepass%PWD_SERVER_KS%)else(echo already exits. . .
)if not exist (echo Generating client's private key. . .keytool -ge nkey-alias ipclie nt_private_key -validity 365-keyalg RSA-keysize 1024-keystore-keypass%PWD_CLIENT_KEY%-storepass%PWD_CLIENT_KS%)else(echo already exits. . .
)echo========Fini shed key gen erati on=========if not exist (echo Generating server's singature request file. . .keytool -certreq-alias log on_server_private_key-sigalg MD5 withRSA-file
-keypass%PWD_SERVER_KEY%-storepass%PWD_SERVER_KS%-keystore
)else(echo already exits. . .
)if not exist (echo Generating client's singature request file. . .keytool -certreq-alias ipclie nt_private_key-sigalg MD5 withRSA
-file-keypass%PWD_CLIENT_KEY%-storepass%PWD_CLIENT_KS%-keystore)else(echo already exits. . .
)if not exist (ope nssl ca-in-out -cert -keyfile-n otext -co nfig%CONFIG%)else(
echo already exits. . .if not exist (ope nssl ca-in-out -cert -keyfile-n otext -co nfig%CONFIG%
)else(echo already e xits. . .
)echo=========Fini shed ca root sig naturi ng==========echo Import ing ca root certs into keystore. . .keytool -import -v-trustcacerts -alias ca_root -file -storepass%PWD_SERVER_KS%-keystorekeytool -import -v-trustcacerts -alias ca_root -file -storepass%PWD_CLIENT_KS%-keystore echo Importing sig natured keys. . .keytool -import -v-alias logo n_server_private_key-file-keypass%PWD_SERVER_KEY%-storepass%PWD_SERVER_KS%-keystorekeytool -import -v-alias ipclie nt_private_key -file-keypass%PWD_CLIENT_KEY%
-storepass%PWD_CLIENT_KS%-keystoreecho All done!
运行这个批处理期间需要回答一些问题 然后就可以得到一些文件其中是需要在客户端部署的是在服务器部署的。 ca.*是root_ca的密钥文件。
然后可以用下面的代码测试
/*
* Copyrights (C)2008 Bearice)
* Release under GNU/GPL Versio n 2.
*/package import
import import import import import import import import import import import import import import import import
*@author Bearice
*/public class NewClass exte nds Thread{
@O verri depublic void run() {try{sleep(100);
SSLContext ctx=("SSL');
KeyMa nagerFactory kmf=("Su nX509");
TrustMa nagerFactory tmf=("Su nX509");
KeyStore ks=("JKS');oCharArray());
(ks, "clientkey" .toCharArray());
(ks);
(),(),nul l);
SSL SocketFactory factory=();
SSLSocket socket=(SSLSocke) ("",4433);sho wCerts());
PrintWriter pw=new PrintWriter());
("GET/HTTP/");
("Server:");
("Connection:close");
();
();
BufferedRe ader in=ne w BufferedRe ader(ne w In put StreamReader()));Stri ng ln;whi l e((ln=()) !=nul l) {
}
} catch(Excepti on ex) {nul l,e x);
}
}public static void showCerts(SSLSession sessio"{
X509Certificate cert=null;try{cert=(X509Certificate) ()[0];
} catch(SSLPeerU nverifiedExcepti on e) {
();
+"did not present a valid certificate");oCharArray());
(ks, "serverkey" .toCharArray());
(ks);
(),(),nul l);
SSLServerSocketFactory factory=();
SSLServerSocket serverSocket=(SSLServerSocke)t (4433);
(true);new NewClass().start();
SSLSocket socket=(SSLSocke)t ();try{
();
} catch(Excepti on ex) {
"Ha ndshake failed: "+ex);
}sho wCerts());
();
PrintWriter out=new PrintWriter());
BufferedRe ader in=ne w BufferedRe ader(ne w In put StreamReader()));Stri ng ln;whi l e((ln=()) !=nul l) {if("")) {bre ak;
}
}
("HTTP/200 OK");
C'C ache-Co ntro l:no-c ache");
("P ragm a:no-c ache");
("Expires:Fri,01 Jan 199000:00:00 GMT");
("Content-Type: text/html;charset=UTF-8");
("Date:Tue,01 Jul 2008 1 1:56:42 GMT");
("Server:BWS");
("X-Powered-By:BWS");
()
("<html><h1>hello world</h1></html>");()
();
}
}
- 证书使用java进行双向认证的ssl链接及使用openssl生产证书链附源程序相关文档
- 密钥一种基于OpenSSL的安全电子商务平台与设计(管理学范文)
- 密钥一种基于OpenSSL的安全电子商务平台研究与设计(电子商务范文)
- 论文基于openssl的安全web服务器开发通信工程专业论文
- 服务器20基于openssl安全web服务器开发
- 密钥一种基于OpenSSL的安全电子商务平台研究与设计(电子商务范文)
- 漏洞当安全协议不安全了-OpenSSL漏洞
美国高防云服务器 1核 1G 26元/月 香港/日本站群服务器 E5 16G 1600元/月 触摸云
触摸云国内IDC/ISP资质齐全商家,与香港公司联合运营, 已超8年运营 。本次为大家带来的是双12特惠活动,美国高防|美国大宽带买就可申请配置升档一级[CPU内存宽带流量选一]升档方式:CPU内存宽带流量任选其一,工单申请免费升级一档珠海触摸云科技有限公司官方网站:https://cmzi.com/可新购免费升档配置套餐:地区CPU内存带宽数据盘价格购买地址美国高防 1核 1G10M20G 26...
.asia域名是否适合做个人网站及.asia域名注册和续费成本
今天看到群里的老秦同学在布局自己的网站项目,这个同学还是比较奇怪的,他就喜欢用这些奇怪的域名。比如前几天看到有用.in域名,个人网站他用的.me域名不奇怪,这个还是常见的。今天看到他在做的一个范文网站的域名,居然用的是 .asia 后缀。问到其理由,是有不错好记的前缀。这里简单的搜索到.ASIA域名的新注册价格是有促销的,大约35元首年左右,续费大约是80元左右,这个成本算的话,比COM域名还贵。...
RAKsmart含站群服务器/10G带宽不限流量首月半价
RAKsmart 商家估摸着前段时间服务器囤货较多,这两个月的促销活动好像有点针对独立服务器。前面才整理到七月份的服务器活动在有一些配置上比上个月折扣力度是大很多,而且今天看到再来部分的服务器首月半价,一般这样的促销有可能是商家库存充裕。比如近期有一些服务商挖矿服务器销售不好,也都会采用这些策略,就好比电脑硬件最近也有下降。不管如何,我们选择服务器或者VPS主机要本着符合自己需求,如果业务不需要,...
-
在线漏洞检测网站好像有漏洞,直接看代码可以找出来吗?eset最新用户名密码ESET4.0最新用户名和密码网站运营一般网站如何运营百度手写百度手写显示童之磊网文大学很强吗?二层交换机什么是三层交换机?什么是二层叫交换机?有什么区别?rewritebase为什么我写.htaccess这个 rewriterule 进入死循环了,高手帮忙修改声母是什么声母是什么?单韵母是什么聚美优品红包聚美优品红包怎么获得去鼠标加速度CS去鼠标加速度和鼠标灵敏度的区别?