证书使用java进行双向认证的ssl链接及使用openssl生产证书链附源程序

openssl  时间:2021-02-26  阅读:()

这几天被SSL和证书搞得头昏脑胀的。不过还好终于把这个 SSL搞定了。

用SSL进行双向身份验证意思就是在客户机连接服务器时 链接双方都要对彼此的数字证书进行验证保证这是经过授权的才能够连接(我们链接一般的 SSL时采用的是单向验证客户机只验证服务器的证书服务器不验证客户机的证书。而连接网上银行时使用的 U盾就是用来存储进行双向验证所需要的客户端证书的)。

JDK里面内置了一个数字证书生产工具 keytool。但是这个工具只能生成自签名的数字证书。所谓自签名就是指证书只能保证自己是完整的 没有经过非法修改的。 但是无法保证这个证书是属于谁的。其实用这种自签名的证书也是可以进行双向验证的 (用keytool生成的自签名证书进行双向验证请看这里 向这位仁兄致意〜 )但是这种验证有一个缺点对于每一个要链接的服务器都要保存一个证书的验证副本。 而且一旦服务器更换证书所有客户端就需要重新部署这些副本。对于比较大型的应用来说这一点是不可接受的。所以就需要证书链进行双向认证。 证书链是指对证书的签名又一个预先部署的 众所周知的签名方签名完成这样每次需要验证证书时只要用这个公用的签名方的公钥进行验证就可以了。 比如我们使用的浏览器就保存了几个常用的 CA_ROOT每次连接到网站时只要这个网站的证书是经过这些CA_ROOT签名过的。就可以通过验证了。

但是这些共用的CA_ROOT的服务不是免费的。而且价格不菲。所以我们有必要自己生成一个CA_ROOT的密钥对然后部署应用时只要把这个C A_RO O T的私钥部署在所有节点就可以完成验证了。要进行CA_ROOT的生成需要OpenSSL()。你也可以在找到Windows下的版本

安装好OpenS SL以后就可以生成证书链了我写了一个 BAT解决这些东西

@echo offset Cset PWD_SERVER_KS=serverks

set PWD_SERVER_KEY=serverkeyset PWD_CLIENT_KS=clie ntks

set PWD_CLIENT_KEY=clie ntkeyif not exist (echo Generating a ca root key file. . .ope nssl req-new-x509-keyout -out -config%CONFIG%

)else(echo already exists. . .

) if not exist (

echo Generating server's private key. . .keytool -ge nkey-alias log on_server_private_key-validity 365-keyalg RSA-keysize 1024-keystore-keypass%PWD_SERVER_KEY%-storepass%PWD_SERVER_KS%)else(echo already exits. . .

)if not exist (echo Generating client's private key. . .keytool -ge nkey-alias ipclie nt_private_key -validity 365-keyalg RSA-keysize 1024-keystore-keypass%PWD_CLIENT_KEY%-storepass%PWD_CLIENT_KS%)else(echo already exits. . .

)echo========Fini shed key gen erati on=========if not exist (echo Generating server's singature request file. . .keytool -certreq-alias log on_server_private_key-sigalg MD5 withRSA-file

-keypass%PWD_SERVER_KEY%-storepass%PWD_SERVER_KS%-keystore

)else(echo already exits. . .

)if not exist (echo Generating client's singature request file. . .keytool -certreq-alias ipclie nt_private_key-sigalg MD5 withRSA

-file-keypass%PWD_CLIENT_KEY%-storepass%PWD_CLIENT_KS%-keystore)else(echo already exits. . .

)if not exist (ope nssl ca-in-out -cert -keyfile-n otext -co nfig%CONFIG%)else(

echo already exits. . .if not exist (ope nssl ca-in-out -cert -keyfile-n otext -co nfig%CONFIG%

)else(echo already e xits. . .

)echo=========Fini shed ca root sig naturi ng==========echo Import ing ca root certs into keystore. . .keytool -import -v-trustcacerts -alias ca_root -file -storepass%PWD_SERVER_KS%-keystorekeytool -import -v-trustcacerts -alias ca_root -file -storepass%PWD_CLIENT_KS%-keystore echo Importing sig natured keys. . .keytool -import -v-alias logo n_server_private_key-file-keypass%PWD_SERVER_KEY%-storepass%PWD_SERVER_KS%-keystorekeytool -import -v-alias ipclie nt_private_key -file-keypass%PWD_CLIENT_KEY%

-storepass%PWD_CLIENT_KS%-keystoreecho All done!

运行这个批处理期间需要回答一些问题 然后就可以得到一些文件其中是需要在客户端部署的是在服务器部署的。 ca.*是root_ca的密钥文件。

然后可以用下面的代码测试

/*

* Copyrights (C)2008 Bearice)

* Release under GNU/GPL Versio n 2.

*/package import

import import import import import import import import import import import import import import import import

*@author Bearice

*/public class NewClass exte nds Thread{

@O verri depublic void run() {try{sleep(100);

SSLContext ctx=("SSL');

KeyMa nagerFactory kmf=("Su nX509");

TrustMa nagerFactory tmf=("Su nX509");

KeyStore ks=("JKS');oCharArray());

(ks, "clientkey" .toCharArray());

(ks);

(),(),nul l);

SSL SocketFactory factory=();

SSLSocket socket=(SSLSocke) ("",4433);sho wCerts());

PrintWriter pw=new PrintWriter());

("GET/HTTP/");

("Server:");

("Connection:close");

();

();

BufferedRe ader in=ne w BufferedRe ader(ne w In put StreamReader()));Stri ng ln;whi l e((ln=()) !=nul l) {

}

} catch(Excepti on ex) {nul l,e x);

}

}public static void showCerts(SSLSession sessio"{

X509Certificate cert=null;try{cert=(X509Certificate) ()[0];

} catch(SSLPeerU nverifiedExcepti on e) {

();

+"did not present a valid certificate");oCharArray());

(ks, "serverkey" .toCharArray());

(ks);

(),(),nul l);

SSLServerSocketFactory factory=();

SSLServerSocket serverSocket=(SSLServerSocke)t (4433);

(true);new NewClass().start();

SSLSocket socket=(SSLSocke)t ();try{

();

} catch(Excepti on ex) {

"Ha ndshake failed: "+ex);

}sho wCerts());

();

PrintWriter out=new PrintWriter());

BufferedRe ader in=ne w BufferedRe ader(ne w In put StreamReader()));Stri ng ln;whi l e((ln=()) !=nul l) {if("")) {bre ak;

}

}

("HTTP/200 OK");

C'C ache-Co ntro l:no-c ache");

("P ragm a:no-c ache");

("Expires:Fri,01 Jan 199000:00:00 GMT");

("Content-Type: text/html;charset=UTF-8");

("Date:Tue,01 Jul 2008 1 1:56:42 GMT");

("Server:BWS");

("X-Powered-By:BWS");

()

("<html><h1>hello world</h1></html>");()

();

}

}

Gcorelabs:美国GPU服务器,8路RTX2080Ti;2*Silver-4214/256G内存/1T SSD,1815欧/月

gcorelabs怎么样?gcorelabs是创建于2011年的俄罗斯一家IDC服务商,Gcorelabs提供优质的托管服务和VPS主机服务,Gcorelabs有一支强大的技术队伍,对主机的性能和稳定性要求非常高。Gcorelabs在 2017年收购了SkyparkCDN并提供全球CDN服务,目标是进入全球前五的网络服务商。G-Core Labs总部位于卢森堡,在莫斯科,明斯克和彼尔姆设有办事处。...

PacificRack:洛杉矶KVM月付1.5美元起,1G内存套餐年付12美元起

PacificRack在本月发布了几款特价产品,其中最低款支持月付仅1.5美元,基于KVM架构,洛杉矶机房,PR-M系列。PacificRack简称PR,QN机房旗下站点,主要提供低价VPS主机产品,基于KVM架构,数据中心为自营洛杉矶机房,现在只有PR-M一个系列,分为了2个类别:常规(Elastic Compute Service)和多IP产品(Multi IP Server)。下面列出几款秒...

提速啦(900元/月),杭州BGP E5-2665/89*2 32核 48G 100G防御

提速啦的来历提速啦是 网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑提速啦的市场定位提速啦主要代理市场稳定速度的云服务器产品,避免新手购买云服务器的时候众多商家不知道如何选择,妮妮云就帮你选择好了产品,无需承担购买风险,不用担心出现被跑路 被诈骗的情况。提速啦的售后保证提速啦退款 通过于合作商的友好协商,云服务器提供3天内全额退款,超过3天不退款 物理机部分支持当天全额退款提速啦提现 充...

openssl为你推荐
google地球打不开google earth打不开怎么办?拂晓雅阁我对电脑操作不熟悉,想买一本自学的电脑书籍,是电脑入门那一类的,最好还有办公软件应用那一类的中国论坛大全安徽论坛都有哪些?依赖注入Spring 的依赖注入是什么意思?办公协同软件协同企业办公的软件有哪些?中小企业信息化信息化为中小企业发展带来了哪些机遇数据库损坏数据库损坏是怎么回事啊?qq空间打扮如何打扮QQ空间?gbk编码表如何制作GBK与Unicode的对照表微信电话本怎么用微信电话本在哪里 微信电话本怎么打开
成都虚拟空间 3322动态域名注册 紫田 新世界电讯 美国php空间 windows2003iso 申请空间 52测评网 京东商城0元抢购 免费防火墙 129邮箱 web服务器安全 申请免费空间和域名 免费asp空间 湖南idc photobucket 主机返佣 好看的空间 tracker服务器 空间排行榜 更多