(转)java ssl

最新推荐文章于 2023-11-22 15:58:46 发布
最新推荐文章于 2023-11-22 15:58:46 发布
阅读量493 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Trace_2011/article/details/40659735

SSL中的各种概念的认识也可能会仅限于可以使用的程度。本文通过构造一个简单的SSL Server和SSL Client来讲解Java环境下SSL的通信原理。

首先我们先回顾一下常规的Java Socket编程。在Java下写一个Socket服务器和客户端的例子还是比较简单的。以下是服务端的代码:

Java代码 复制代码 收藏代码

    package org.bluedash.tryssl;   
      
    import java.io.BufferedReader;   
    import java.io.IOException;   
    import java.io.InputStreamReader;   
    import java.io.PrintWriter;   
    import java.net.ServerSocket;   
    import java.net.Socket;   
      
    public class Server extends Thread {   
        private Socket socket;   
      
        public Server(Socket socket) {   
            this.socket = socket;   
        }   
      
        public void run() {   
            try {   
                BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));   
                PrintWriter writer = new PrintWriter(socket.getOutputStream());   
      
                String data = reader.readLine();   
                writer.println(data);   
                writer.close();   
                socket.close();   
            } catch (IOException e) {   
      
            }   
        }   
           
        public static void main(String[] args) throws Exception {   
            while (true) {   
                new Server((new ServerSocket(8080)).accept()).start();   
            }   
        }   
    }  

[java] view plaincopy

    package org.bluedash.tryssl;  
      
    import java.io.BufferedReader;  
    import java.io.IOException;  
    import java.io.InputStreamReader;  
    import java.io.PrintWriter;  
    import java.net.ServerSocket;  
    import java.net.Socket;  
      
    public class Server extends Thread {  
        private Socket socket;  
      
        public Server(Socket socket) {  
            this.socket = socket;  
        }  
      
        public void run() {  
            try {  
                BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));  
                PrintWriter writer = new PrintWriter(socket.getOutputStream());  
      
                String data = reader.readLine();  
                writer.println(data);  
                writer.close();  
                socket.close();  
            } catch (IOException e) {  
      
            }  
        }  
          
        public static void main(String[] args) throws Exception {  
            while (true) {  
                new Server((new ServerSocket(8080)).accept()).start();  
            }  
        }  
    }  



服务端很简单:侦听8080端口,并把客户端发来的字符串返回去。下面是客户端的代码:

Java代码 复制代码 收藏代码

    package org.bluedash.tryssl;   
      
    import java.io.BufferedReader;   
    import java.io.InputStreamReader;   
    import java.io.PrintWriter;   
    import java.net.Socket;   
      
    public class Client {   
      
        public static void main(String[] args) throws Exception {   
      
            Socket s = new Socket("localhost", 8080);   
      
            PrintWriter writer = new PrintWriter(s.getOutputStream());   
            BufferedReader reader = new BufferedReader(new InputStreamReader(s.getInputStream()));   
            writer.println("hello");   
            writer.flush();   
            System.out.println(reader.readLine());   
            s.close();   
        }   
      
    }  

[java] view plaincopy

    package org.bluedash.tryssl;  
      
    import java.io.BufferedReader;  
    import java.io.InputStreamReader;  
    import java.io.PrintWriter;  
    import java.net.Socket;  
      
    public class Client {  
      
        public static void main(String[] args) throws Exception {  
      
            Socket s = new Socket("localhost", 8080);  
      
            PrintWriter writer = new PrintWriter(s.getOutputStream());  
            BufferedReader reader = new BufferedReader(new InputStreamReader(s.getInputStream()));  
            writer.println("hello");  
            writer.flush();  
            System.out.println(reader.readLine());  
            s.close();  
        }  
      
    }  



客户端也非常简单:向服务端发起请求,发送一个"hello"字串,然后获得服务端的返回。把服务端运行起来后,执行客户端,我们将得到"hello"的返回。

就是这样一套简单的网络通信的代码,我们来把它改造成使用SSL通信。在SSL通信协议中,我们都知道首先服务端必须有一个数字证书,当客户端连接到服务端时,会得到这个证书,然后客户端会判断这个证书是否是可信的,如果是,则交换信道加密密钥,进行通信。如果不信任这个证书,则连接失败。

因此,我们首先要为服务端生成一个数字证书。Java环境下,数字证书是用keytool生成的,这些证书被存储在store的概念中,就是证书仓库。我们来调用keytool命令为服务端生成数字证书和保存它使用的证书仓库:

Bash代码 复制代码 收藏代码

    keytool -genkey -v -alias bluedash-ssl-demo-server -keyalg RSA -keystore ./server_ks -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,C=cn" -storepass server -keypass 123123  



这样,我们就将服务端证书bluedash-ssl-demo-server保存在了server_ksy这个store文件当中。有关keytool的用法在本文中就不再多赘述。执行上面的命令得到如下结果:

Bash代码 复制代码 收藏代码

    Generating 1,024 bit RSA key pair and self-signed certificate (SHA1withRSA) with a validity of 90 days   
            for: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn   
    [Storing ./server_ks]  



然后,改造我们的服务端代码,让服务端使用这个证书,并提供SSL通信:

Java代码 复制代码 收藏代码

    package org.bluedash.tryssl;   
      
    import java.io.BufferedReader;   
    import java.io.FileInputStream;   
    import java.io.IOException;   
    import java.io.InputStreamReader;   
    import java.io.PrintWriter;   
    import java.net.ServerSocket;   
    import java.net.Socket;   
    import java.security.KeyStore;   
      
    import javax.net.ServerSocketFactory;   
    import javax.net.ssl.KeyManagerFactory;   
    import javax.net.ssl.SSLContext;   
    import javax.net.ssl.SSLServerSocket;   
      
    public class SSLServer extends Thread {   
        private Socket socket;   
      
        public SSLServer(Socket socket) {   
            this.socket = socket;   
        }   
      
        public void run() {   
            try {   
                BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));   
                PrintWriter writer = new PrintWriter(socket.getOutputStream());   
      
                String data = reader.readLine();   
                writer.println(data);   
                writer.close();   
                socket.close();   
            } catch (IOException e) {   
      
            }   
        }   
      
        private static String SERVER_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/server_ks";   
        private static String SERVER_KEY_STORE_PASSWORD = "123123";   
      
        public static void main(String[] args) throws Exception {   
            System.setProperty("javax.net.ssl.trustStore", SERVER_KEY_STORE);   
            SSLContext context = SSLContext.getInstance("TLS");   
               
            KeyStore ks = KeyStore.getInstance("jceks");   
            ks.load(new FileInputStream(SERVER_KEY_STORE), null);   
            KeyManagerFactory kf = KeyManagerFactory.getInstance("SunX509");   
            kf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());   
               
            context.init(kf.getKeyManagers(), null, null);   
      
            ServerSocketFactory factory = context.getServerSocketFactory();   
            ServerSocket _socket = factory.createServerSocket(8443);   
            ((SSLServerSocket) _socket).setNeedClientAuth(false);   
      
            while (true) {   
                new SSLServer(_socket.accept()).start();   
            }   
        }   
    }  

[java] view plaincopy

    package org.bluedash.tryssl;  
      
    import java.io.BufferedReader;  
    import java.io.FileInputStream;  
    import java.io.IOException;  
    import java.io.InputStreamReader;  
    import java.io.PrintWriter;  
    import java.net.ServerSocket;  
    import java.net.Socket;  
    import java.security.KeyStore;  
      
    import javax.net.ServerSocketFactory;  
    import javax.net.ssl.KeyManagerFactory;  
    import javax.net.ssl.SSLContext;  
    import javax.net.ssl.SSLServerSocket;  
      
    public class SSLServer extends Thread {  
        private Socket socket;  
      
        public SSLServer(Socket socket) {  
            this.socket = socket;  
        }  
      
        public void run() {  
            try {  
                BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));  
                PrintWriter writer = new PrintWriter(socket.getOutputStream());  
      
                String data = reader.readLine();  
                writer.println(data);  
                writer.close();  
                socket.close();  
            } catch (IOException e) {  
      
            }  
        }  
      
        private static String SERVER_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/server_ks";  
        private static String SERVER_KEY_STORE_PASSWORD = "123123";  
      
        public static void main(String[] args) throws Exception {  
            System.setProperty("javax.net.ssl.trustStore", SERVER_KEY_STORE);  
            SSLContext context = SSLContext.getInstance("TLS");  
              
            KeyStore ks = KeyStore.getInstance("jceks");  
            ks.load(new FileInputStream(SERVER_KEY_STORE), null);  
            KeyManagerFactory kf = KeyManagerFactory.getInstance("SunX509");  
            kf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());  
              
            context.init(kf.getKeyManagers(), null, null);  
      
            ServerSocketFactory factory = context.getServerSocketFactory();  
            ServerSocket _socket = factory.createServerSocket(8443);  
            ((SSLServerSocket) _socket).setNeedClientAuth(false);  
      
            while (true) {  
                new SSLServer(_socket.accept()).start();  
            }  
        }  
    }  



可以看到,服务端的Socket准备设置工作大大增加了,增加的代码的作用主要是将证书导入并进行使用。此外,所使用的Socket变成了SSLServerSocket,另外端口改到了8443(这个不是强制的,仅仅是为了遵守习惯)。另外,最重要的一点,服务端证书里面的CN一定和服务端的域名统一,我们的证书服务的域名是localhost,那么我们的客户端在连接服务端时一定也要用localhost来连接,否则根据SSL协议标准,域名与证书的CN不匹配,说明这个证书是不安全的,通信将无法正常运行。

有了服务端,我们原来的客户端就不能使用了,必须要走SSL协议。由于服务端的证书是我们自己生成的,没有任何受信任机构的签名,所以客户端是无法验证服务端证书的有效性的,通信必然会失败。所以我们需要为客户端创建一个保存所有信任证书的仓库,然后把服务端证书导进这个仓库。这样,当客户端连接服务端时,会发现服务端的证书在自己的信任列表中,就可以正常通信了。

因此现在我们要做的是生成一个客户端的证书仓库,因为keytool不能仅生成一个空白仓库,所以和服务端一样,我们还是生成一个证书加一个仓库(客户端证书加仓库):

Bash代码 复制代码 收藏代码

    keytool -genkey -v -alias bluedash-ssl-demo-client -keyalg RSA -keystore ./client_ks -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,C=cn" -storepass client -keypass 456456  



结果如下:

Bash代码 复制代码 收藏代码

    Generating 1,024 bit RSA key pair and self-signed certificate (SHA1withRSA) with a validity of 90 days   
            for: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn   
    [Storing ./client_ks]  



接下来,我们要把服务端的证书导出来,并导入到客户端的仓库。第一步是导出服务端的证书:

Bash代码 复制代码 收藏代码

    keytool -export -alias bluedash-ssl-demo-server -keystore ./server_ks -file server_key.cer  



执行结果如下:

Bash代码 复制代码 收藏代码

    Enter keystore password:  server   
    Certificate stored in file <server_key.cer>  



然后是把导出的证书导入到客户端证书仓库:

Bash代码 复制代码 收藏代码

    keytool -import -trustcacerts -alias bluedash-ssl-demo-server -file ./server_key.cer -keystore ./client_ks  



结果如下:

Bash代码 复制代码 收藏代码

    Enter keystore password:  client   
    Owner: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn   
    Issuer: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn   
    Serial number: 4c57c7de   
    Valid from: Tue Aug 03 15:40:14 CST 2010 until: Mon Nov 01 15:40:14 CST 2010  
    Certificate fingerprints:   
             MD5:  FC:D4:8B:36:3F:1B:30:EA:6D:63:55:4F:C7:68:3B:0C   
             SHA1: E1:54:2F:7C:1A:50:F5:74:AA:63:1E:F9:CC:B1:1C:73:AA:34:8A:C4   
             Signature algorithm name: SHA1withRSA   
             Version: 3  
    Trust this certificate? [no]:  yes   
    Certificate was added to keystore  



好,准备工作做完了,我们来撰写客户端的代码:

Java代码 复制代码 收藏代码

    package org.bluedash.tryssl;   
      
    import java.io.BufferedReader;   
    import java.io.InputStreamReader;   
    import java.io.PrintWriter;   
    import java.net.Socket;   
      
    import javax.net.SocketFactory;   
    import javax.net.ssl.SSLSocketFactory;   
      
    public class SSLClient {   
      
        private static String CLIENT_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/client_ks";   
      
        public static void main(String[] args) throws Exception {   
            // Set the key store to use for validating the server cert.   
            System.setProperty("javax.net.ssl.trustStore", CLIENT_KEY_STORE);   
               
            System.setProperty("javax.net.debug", "ssl,handshake");   
      
            SSLClient client = new SSLClient();   
            Socket s = client.clientWithoutCert();   
      
            PrintWriter writer = new PrintWriter(s.getOutputStream());   
            BufferedReader reader = new BufferedReader(new InputStreamReader(s   
                    .getInputStream()));   
            writer.println("hello");   
            writer.flush();   
            System.out.println(reader.readLine());   
            s.close();   
        }   
      
        private Socket clientWithoutCert() throws Exception {   
            SocketFactory sf = SSLSocketFactory.getDefault();   
            Socket s = sf.createSocket("localhost", 8443);   
            return s;   
        }   
    }  

[java] view plaincopy

    package org.bluedash.tryssl;  
      
    import java.io.BufferedReader;  
    import java.io.InputStreamReader;  
    import java.io.PrintWriter;  
    import java.net.Socket;  
      
    import javax.net.SocketFactory;  
    import javax.net.ssl.SSLSocketFactory;  
      
    public class SSLClient {  
      
        private static String CLIENT_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/client_ks";  
      
        public static void main(String[] args) throws Exception {  
            // Set the key store to use for validating the server cert.  
            System.setProperty("javax.net.ssl.trustStore", CLIENT_KEY_STORE);  
              
            System.setProperty("javax.net.debug", "ssl,handshake");  
      
            SSLClient client = new SSLClient();  
            Socket s = client.clientWithoutCert();  
      
            PrintWriter writer = new PrintWriter(s.getOutputStream());  
            BufferedReader reader = new BufferedReader(new InputStreamReader(s  
                    .getInputStream()));  
            writer.println("hello");  
            writer.flush();  
            System.out.println(reader.readLine());  
            s.close();  
        }  
      
        private Socket clientWithoutCert() throws Exception {  
            SocketFactory sf = SSLSocketFactory.getDefault();  
            Socket s = sf.createSocket("localhost", 8443);  
            return s;  
        }  
    }  



可以看到,除了把一些类变成SSL通信类以外,客户端也多出了使用信任证书仓库的代码。以上,我们便完成了SSL单向握手通信。即:客户端验证服务端的证书,服务端不认证客户端的证书。

以上便是Java环境下SSL单向握手的全过程。因为我们在客户端设置了日志输出级别为DEBUG:

Java代码 复制代码 收藏代码

    System.setProperty("javax.net.debug", "ssl,handshake");  

[java] view plaincopy

    System.setProperty("javax.net.debug", "ssl,handshake");  



因此我们可以看到SSL通信的全过程,这些日志可以帮助我们更具体地了解通过SSL协议建立网络连接时的全过程。

结合日志,我们来看一下SSL双向认证的全过程:



第一步: 客户端发送ClientHello消息,发起SSL连接请求,告诉服务器自己支持的SSL选项(加密方式等)。

Bash代码 复制代码 收藏代码

    *** ClientHello, TLSv1  



第二步: 服务器响应请求,回复ServerHello消息,和客户端确认SSL加密方式:

Bash代码 复制代码 收藏代码

    *** ServerHello, TLSv1  



第三步: 服务端向客户端发布自己的公钥。

第四步: 客户端与服务端的协通沟通完毕,服务端发送ServerHelloDone消息:

Bash代码 复制代码 收藏代码

    *** ServerHelloDone  



第五步: 客户端使用服务端给予的公钥,创建会话用密钥(SSL证书认证完成后,为了提高性能,所有的信息交互就可能会使用对称加密算法),并通过ClientKeyExchange消息发给服务器:

Bash代码 复制代码 收藏代码

    *** ClientKeyExchange, RSA PreMasterSecret, TLSv1  



第六步: 客户端通知服务器改变加密算法,通过ChangeCipherSpec消息发给服务端:

Bash代码 复制代码 收藏代码

    main, WRITE: TLSv1 Change Cipher Spec, length = 1  



第七步: 客户端发送Finished消息,告知服务器请检查加密算法的变更请求:

Bash代码 复制代码 收藏代码

    *** Finished  



第八步:服务端确认算法变更,返回ChangeCipherSpec消息

Bash代码 复制代码 收藏代码

    main, READ: TLSv1 Change Cipher Spec, length = 1  



第九步:服务端发送Finished消息,加密算法生效:

Bash代码 复制代码 收藏代码

    *** Finished  



那么如何让服务端也认证客户端的身份,即双向握手呢?其实很简单,在服务端代码中,把这一行:

Java代码 复制代码 收藏代码

    ((SSLServerSocket) _socket).setNeedClientAuth(false);  

[java] view plaincopy

    ((SSLServerSocket) _socket).setNeedClientAuth(false);  



改成:

Java代码 复制代码 收藏代码

    ((SSLServerSocket) _socket).setNeedClientAuth(true);  

[java] view plaincopy

    ((SSLServerSocket) _socket).setNeedClientAuth(true);  



就可以了。但是,同样的道理,现在服务端并没有信任客户端的证书,因为客户端的证书也是自己生成的。所以,对于服务端,需要做同样的工作:把客户端的证书导出来,并导入到服务端的证书仓库:

Bash代码 复制代码 收藏代码

    keytool -export -alias bluedash-ssl-demo-client -keystore ./client_ks -file client_key.cer   
    Enter keystore password:  client   
    Certificate stored in file <client_key.cer>  



Bash代码 复制代码 收藏代码

    keytool -import -trustcacerts -alias bluedash-ssl-demo-client -file ./client_key.cer -keystore ./server_ks   
    Enter keystore password:  server   
    Owner: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn   
    Issuer: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn   
    Serial number: 4c57c80b   
    Valid from: Tue Aug 03 15:40:59 CST 2010 until: Mon Nov 01 15:40:59 CST 2010  
    Certificate fingerprints:   
             MD5:  DB:91:F4:1E:65:D1:81:F2:1E:A6:A3:55:3F:E8:12:79  
             SHA1: BF:77:56:61:04:DD:95:FC:E5:84:48:5C:BE:60:AF:02:96:A2:E1:E2   
             Signature algorithm name: SHA1withRSA   
             Version: 3  
    Trust this certificate? [no]:  yes   
    Certificate was added to keystore  



完成了证书的导入,还要在客户端需要加入一段代码,用于在连接时,客户端向服务端出示自己的证书:

Java代码 复制代码 收藏代码

    package org.bluedash.tryssl;   
      
    import java.io.BufferedReader;   
    import java.io.FileInputStream;   
    import java.io.InputStreamReader;   
    import java.io.PrintWriter;   
    import java.net.Socket;   
    import java.security.KeyStore;   
    import javax.net.SocketFactory;   
    import javax.net.ssl.KeyManagerFactory;   
    import javax.net.ssl.SSLContext;   
    import javax.net.ssl.SSLSocketFactory;   
      
    public class SSLClient {   
        private static String CLIENT_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/client_ks";   
        private static String CLIENT_KEY_STORE_PASSWORD = "456456";   
           
        public static void main(String[] args) throws Exception {   
            // Set the key store to use for validating the server cert.   
            System.setProperty("javax.net.ssl.trustStore", CLIENT_KEY_STORE);   
            System.setProperty("javax.net.debug", "ssl,handshake");   
            SSLClient client = new SSLClient();   
            Socket s = client.clientWithCert();   
               
            PrintWriter writer = new PrintWriter(s.getOutputStream());   
            BufferedReader reader = new BufferedReader(new InputStreamReader(s.getInputStream()));   
            writer.println("hello");   
            writer.flush();   
            System.out.println(reader.readLine());   
            s.close();   
        }   
      
        private Socket clientWithoutCert() throws Exception {   
            SocketFactory sf = SSLSocketFactory.getDefault();   
            Socket s = sf.createSocket("localhost", 8443);   
            return s;   
        }   
      
        private Socket clientWithCert() throws Exception {   
            SSLContext context = SSLContext.getInstance("TLS");   
            KeyStore ks = KeyStore.getInstance("jceks");   
               
            ks.load(new FileInputStream(CLIENT_KEY_STORE), null);   
            KeyManagerFactory kf = KeyManagerFactory.getInstance("SunX509");   
            kf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray());   
            context.init(kf.getKeyManagers(), null, null);   
               
            SocketFactory factory = context.getSocketFactory();   
            Socket s = factory.createSocket("localhost", 8443);   
            return s;   
        }   
    }  

[java] view plaincopy

    package org.bluedash.tryssl;  
      
    import java.io.BufferedReader;  
    import java.io.FileInputStream;  
    import java.io.InputStreamReader;  
    import java.io.PrintWriter;  
    import java.net.Socket;  
    import java.security.KeyStore;  
    import javax.net.SocketFactory;  
    import javax.net.ssl.KeyManagerFactory;  
    import javax.net.ssl.SSLContext;  
    import javax.net.ssl.SSLSocketFactory;  
      
    public class SSLClient {  
        private static String CLIENT_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/client_ks";  
        private static String CLIENT_KEY_STORE_PASSWORD = "456456";  
          
        public static void main(String[] args) throws Exception {  
            // Set the key store to use for validating the server cert.  
            System.setProperty("javax.net.ssl.trustStore", CLIENT_KEY_STORE);  
            System.setProperty("javax.net.debug", "ssl,handshake");  
            SSLClient client = new SSLClient();  
            Socket s = client.clientWithCert();  
              
            PrintWriter writer = new PrintWriter(s.getOutputStream());  
            BufferedReader reader = new BufferedReader(new InputStreamReader(s.getInputStream()));  
            writer.println("hello");  
            writer.flush();  
            System.out.println(reader.readLine());  
            s.close();  
        }  
      
        private Socket clientWithoutCert() throws Exception {  
            SocketFactory sf = SSLSocketFactory.getDefault();  
            Socket s = sf.createSocket("localhost", 8443);  
            return s;  
        }  
      
        private Socket clientWithCert() throws Exception {  
            SSLContext context = SSLContext.getInstance("TLS");  
            KeyStore ks = KeyStore.getInstance("jceks");  
              
            ks.load(new FileInputStream(CLIENT_KEY_STORE), null);  
            KeyManagerFactory kf = KeyManagerFactory.getInstance("SunX509");  
            kf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray());  
            context.init(kf.getKeyManagers(), null, null);  
              
            SocketFactory factory = context.getSocketFactory();  
            Socket s = factory.createSocket("localhost", 8443);  
            return s;  
        }  
    }  



通过比对单向认证的日志输出,我们可以发现双向认证时,多出了服务端认证客户端证书的步骤:

Bash代码 复制代码 收藏代码

    *** CertificateRequest   
    Cert Types: RSA, DSS   
    Cert Authorities:   
    <CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn>   
    <CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn>   
    *** ServerHelloDone  



Bash代码 复制代码 收藏代码

    *** CertificateVerify   
    main, WRITE: TLSv1 Handshake, length = 134  
    main, WRITE: TLSv1 Change Cipher Spec, length = 1  



在 @*** ServerHelloDone@ 之前,服务端向客户端发起了需要证书的请求 @*** CertificateRequest@ 。

在客户端向服务端发出 @Change Cipher Spec@ 请求之前,多了一步客户端证书认证的过程 @*** CertificateVerify@ 。

客户端与服务端互相认证证书的情景,可参考下图:


trace-
关注
java双向认证_SSL双向认证java实现
weixin_31975689的博客
02-15 785
本文通过模拟场景,介绍SSL双向认证的java实现默认的情况下,我认为读者已经对SSL原理有一定的了解,所以文章中对SSL的原理,不做详细的介绍。如果有这个需要,那么通过GOOGLE,可以搜索到很多这样的文章。模拟场景:Server端和Client端通信,需要进行授权和身份的验证,即Client只能接受Server的消息,Server只能接受Client的消息。实现技术:JSSE(Java Sec...
java ssl 双向认证_java实现 SSL双向认证
weixin_31437361的博客
02-12 1555
实现技术:JSSE(Java Security Socket Extension)是Sun为了解决在Internet上的实现安全信息传输的解决方案。它实现了SSL和TSL(传输层安全)协议。在JSSE中包含了数据加密,服务器验证,消息完整性和客户端验证等技术。通过使用JSSE,可以在Client和Server之间通过TCP/IP协议安全地传输数据。为了实现消息认证。Server需要:1)KeySt...
JAVA实现的SSL/TLS双向认证源代码
02-02
压缩包里有客户端源码和服务器端源码,支持TCP的双向认证,也支持WEBSOCKET的双向认证,内附测试 wss的测试例子, 需要生成PKCS12的证书,导入浏览器才可以测试。
SSL介绍与Java实例
daixj110的专栏
09-14 504
有关SSL的原理和介绍在网上已经有不少,对于Java下使用keytool生成证书,配置SSL通信的教程也非常多。但如果我们不能够亲自动手做一个SSL Sever和SSL Client,可能就永远也不能深入地理解Java环境下,SSL的通信是如何实现的。对SSL中的各种概念的认识也可能会仅限于可以使用的程度。本文通过构造一个简单的SSL Server和SSL Client来讲解Java环境下SSL的...
SSL学习研究
男人可以没有钱,但不可以没有责任感
04-19 167
有关SSL的原理和介绍在网上已经有不少,对于Java下使用keytool生成证书,配置SSL通信的教程也非常多。但如果我们不能够亲自动手做一个SSL Sever和SSL Client,可能就永远也不能深入地理解Java环境下,SSL的通信是如何实现的。对SSL中的各种概念的认识也可能会仅限于可以使用的程度。本文通过构造一个简单的SSL Server和SSL Client来讲解Java环境下SSL...
java中关于SSL/TSL的介绍和如何实现SSL Socket双向认证
weixin_34200628的博客
06-01 422
一、        SSL概述 SSL协议采用数字证书及数字签名进行双端实体认证,用非对称加密算法进行密钥协商,用对称加密算法将数据加密后进行传输以保证数据的保密性,并且通过计算数字摘要来验证数据在传输过程中是否被篡改和伪造,从而为敏感数据的传输提供了一种安全保障手段。 SSL协议提供的服务主要有: 1)认证用户和服务器,确保数据发送到正确的客户机和服务器 认证用户和服务器的合法性,使它们...
SSL.rar_JAVA SSL _ssl_ssl java
09-24
标题"SSL.rar_JAVA SSL _ssl_ssl java"表明这个压缩包包含的是关于Java中实现SSL/TLS协议的示例代码,可能是服务器端和客户端的简单实现。 描述中提到"SSL加密简单的服务端和客户端书写.希望对大家有所帮助",这...
java_ssl.rar_JAVA SSL _The Client_ssl_ssl java
09-23
在"java_ssl.rar_JAVA SSL _The Client_ssl_ssl java"这个压缩包中,可能包含的是关于Java SSL连接服务器和客户端的相关教程或代码示例。 首先,我们来详细了解一下Java中的SSL连接过程: 1. **握手阶段**:当...
Tomcat_SSL.rar_JAVA SSL _ssl_ssl java_tomcat_tomcat ssl
09-14
本教程将深入讲解如何在Tomcat中配置SSL,以便在开发和部署Java Web应用时,能够提供安全的数据交换环境。 首先,了解SSL/TLS的基本原理。SSL/TLS协议用于在客户端浏览器和服务器之间建立安全的连接,它通过使用...
Java ssl socket 双向认证
04-18
Java SSL(Secure Socket Layer)套接字是一种用于在两个应用程序之间建立安全通信通道的协议,主要目的是为了确保数据传输的安全性。SSL通过使用加密技术来保护数据,防止未经授权的访问和篡改。在Java中,我们可以...
Java中的SSL及HTTPS协议实例源码
06-07
Java中的SSL(Secure Socket Layer)和HTTPS(Hypertext Transfer Protocol Secure)协议是网络通信安全的重要组成部分,尤其在处理敏感信息如用户登录凭证、支付数据等时,它们提供了必要的加密和身份验证机制。...
java-https客户端双向认证SSL
最新发布
weixin_43728597的博客
11-22 2347
springboot下https双向认证开发经验
java实现 SSL双向认证
avery-leo
11-24 515
实现技术:JSSE(Java Security Socket Extension)是Sun为了解决在Internet上的实现安全信息传输的解决方案。它实现了SSL和TSL(传输层安全)协议。在JSSE中包含了数据加密,服务器验证,消息完整性和客户端验证等技术。通过使用JSSE,可以在Client和Server之间通过TCP/IP协议安全地传输数据。   为了实现消息认证。Server需要:1)Ke...
Java SSL双向认证
qq_32352777的博客
10-19 311
前言:之前在网络看到一篇关于《Java实现 SSL双向认证》的博客,觉得很棒,因此做了简单整理和注释,方便自己以后查阅。 我们常见的SSL验证较多的只是验证我们的服务器是否是真实正确的,当然如果你访问的URL压根就错了,那谁也没有办法。这个就是所谓的SSL单向认证。 但是实际中,我们有可能还会验证客户端是否符合要求,也就是给我们每个用户颁发一个证书,比且每个数字证书都是唯一的,不公开的。这样就能通过这个数字证书保证当前访问我服务器的这个用户是经过服务器认可的,其他人不可访问。 双向认证从第一个层面上确
Java SSL/TLS证书认证逻辑
fenglllle的博客
10-21 2908
实际上证书的认证就是链式认证,加入根证书链,因为根证书是信任的,CA机构是认可的,那么CA颁发的根证书是信任的,经常报道的Chrome移除xxx机构颁发的根证书,表示这些证书链下的证书不信任了,毕竟公钥和私钥任何证书都能生成,证书链也可以仿造。
Java中使用openssl制作的双向认证
u012333307的专栏
03-20 4218
一 创建根证书 1 生成根证书私钥 openssl genrsa -des3 -out root.key 1024 密码为:handwin1 2 生成根证书签名请求文件 openssl req -new -out root-req.csr -key root.key -keyform PEM 3 自签根证书 openssl x509 -req -in root-req.c
使用Java进行双向认证的SSL链接以及使用OpenSSL生产证书链
hulua2010的专栏
09-14 2138
SSL进行双向身份验证意思就是在客户机连接服务器时,链接双方都要对彼此的数字证书进行验证,保证这是经过授权的才能够连接(我们链接一般的SSL时采用的是单向验证,客户机只验证服务器的证书,服务器不验证客户机的证书。而连接网上银行时使用的U盾就是用来存储进行双向验证所需要的客户端证书的)。 JDK里面内置了一个数字证书生产工具:keytool。但是这个工具只能生成自签名的数字证书。所谓自签名就是指
SSL双向认证的java实现
chenkai619的专栏
04-17 3465
本文摘自:http://blog.youkuaiyun.com/wangxiaomei2008/article/details/6561323 我们常见的SSL验证较多的只是验证我们的服务器是否是真实正确的,当然如果你访问的URL压根就错了,那谁也没有办法。这个就是所谓的SSL单向认证。   但是实际中,我们有可能还会验证客户端是否符合要求,也就是给我们每个用户颁发一个证书,比且每个数字证书都是唯一的
ssl认证、证书】java中的ssl语法API说明(SSLContext)、与keytool 工具的联系
m0_45406092的博客
04-04 4814
java中,我们经常需要使用SSL/TLS连接,这种连接是加密连接,https之类的基于TCP/IP协议的应用层协议加密传输,也经常基于这种加密连接,这种连接jdk底层已经提供了默认的实现,并且是基于jdk中的keystroe证书库实现的认证。默认的SocketFactory实现ssl连接时,是基于这个默认的证书库的实现,因此当遇到证书库中不存在的证书时,就会出现ssl连接异常的问题。或者将不信任的证书安装到中解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值