Java加密技术(十)——单向认证

最新推荐文章于 2023-12-11 10:08:42 发布
最新推荐文章于 2023-12-11 10:08:42 发布 · 140 阅读 · 0
文章标签:

#shell #java

本文详细介绍了如何使用第三方CA机构thawte进行SSL证书的申请和配置过程,包括域名定位、Tomcat配置等步骤。

Java 加密技术(九)中,我们使用自签名证书完成了认证。接下来,我们使用第三方CA签名机构完成证书签名。

这里我们使用 thawte提供的测试用21天免费ca证书。
1.要在该网站上注明你的域名,这里使用 www.zlex.org作为测试用域名( 请勿使用该域名作为你的域名地址,该域名受法律保护!请使用其他非注册域名!)。
2.如果域名有效,你会收到邮件要求你访问 https://www.thawte.com/cgi/server/try.exe获得ca证书。
3.复述密钥库的创建。
Shell代码 收藏代码
  1. keytool-genkey-validity36000-aliaswww.zlex.org-keyalgRSA-keystored:\zlex.keystore


在这里我使用的密码为 123456

控制台输出:
Console代码 收藏代码
  1. 输入keystore密码:
  2. 再次输入新密码:
  3. 您的名字与姓氏是什么?
  4. [Unknown]:www.zlex.org
  5. 您的组织单位名称是什么?
  6. [Unknown]:zlex
  7. 您的组织名称是什么?
  8. [Unknown]:zlex
  9. 您所在的城市或区域名称是什么?
  10. [Unknown]:BJ
  11. 您所在的州或省份名称是什么?
  12. [Unknown]:BJ
  13. 该单位的两字母国家代码是什么
  14. [Unknown]:CN
  15. CN=www.zlex.org,OU=zlex,O=zlex,L=BJ,ST=BJ,C=CN正确吗?
  16. [否]:Y
  18. 输入<tomcat>的主密码
  19. (如果和keystore密码相同,按回车):
  20. 再次输入新密码:


4.通过如下命令,从zlex.keystore中导出CA证书申请。
Shell代码 收藏代码
  1. keytool-certreq-aliaswww.zlex.org-filed:\zlex.csr-keystored:\zlex.keystore-v
你会获得zlex.csr文件,可以用记事本打开,内容如下格式:
Text代码 收藏代码
  1. -----BEGINNEWCERTIFICATEREQUEST-----
  2. MIIBnDCCAQUCAQAwXDELMAkGA1UEBhMCQ04xCzAJBgNVBAgTAkJKMQswCQYDVQQHEwJCSjENMAsG
  3. A1UEChMEemxleDENMAsGA1UECxMEemxleDEVMBMGA1UEAxMMd3d3LnpsZXgub3JnMIGfMA0GCSqG
  4. SIb3DQEBAQUAA4GNADCBiQKBgQCR6DXU9Mp+mCKO7cv9JPsj0n1Ec/GpM09qvhpgX3FNad/ZWSDc
  5. vU77YXZSoF9hQp3w1LC+eeKgd2MlVpXTvbVwBNVd2HiQPp37ic6BUUjSaX8LHtCl7l0BIEye9qQ2
  6. j8G0kak7e8ZA0s7nb3Ymq/K8BV7v0MQIdhIc1bifK9ZDewIDAQABoAAwDQYJKoZIhvcNAQEFBQAD
  7. gYEAMA1r2fbZPtNx37U9TRwadCH2TZZecwKJS/hskNm6ryPKIAp9APWwAyj8WJHRBz5SpZM4zmYO
  8. oMCI8BcnY2A4JP+R7/SwXTdH/xcg7NVghd9A2SCgqMpF7KMfc5dE3iygdiPu+UhY200Dvpjx8gmJ
  9. 1UbH3+nqMUyCrZgURFslOUY=
  10. -----ENDNEWCERTIFICATEREQUEST-----

5.将上述文件内容拷贝到 https://www.thawte.com/cgi/server/try.exe中,点击next,获得回应内容,这里是p7b格式。
内容如下:
Text代码 收藏代码
  1. -----BEGINPKCS7-----
  2. MIIF3AYJKoZIhvcNAQcCoIIFzTCCBckCAQExADALBgkqhkiG9w0BBwGgggWxMIID
  3. EDCCAnmgAwIBAgIQA/mx/pKoaB+KGX2hveFU9zANBgkqhkiG9w0BAQUFADCBhzEL
  4. MAkGA1UEBhMCWkExIjAgBgNVBAgTGUZPUiBURVNUSU5HIFBVUlBPU0VTIE9OTFkx
  5. HTAbBgNVBAoTFFRoYXd0ZSBDZXJ0aWZpY2F0aW9uMRcwFQYDVQQLEw5URVNUIFRF
  6. U1QgVEVTVDEcMBoGA1UEAxMTVGhhd3RlIFRlc3QgQ0EgUm9vdDAeFw0wOTA1Mjgw
  7. MDIxMzlaFw0wOTA2MTgwMDIxMzlaMFwxCzAJBgNVBAYTAkNOMQswCQYDVQQIEwJC
  8. SjELMAkGA1UEBxMCQkoxDTALBgNVBAoTBHpsZXgxDTALBgNVBAsTBHpsZXgxFTAT
  9. BgNVBAMTDHd3dy56bGV4Lm9yZzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA
  10. keg11PTKfpgiju3L/ST7I9J9RHPxqTNPar4aYF9xTWnf2Vkg3L1O+2F2UqBfYUKd
  11. 8NSwvnnioHdjJVaV0721cATVXdh4kD6d+4nOgVFI0ml/Cx7Qpe5dASBMnvakNo/B
  12. tJGpO3vGQNLO5292JqvyvAVe79DECHYSHNW4nyvWQ3sCAwEAAaOBpjCBozAMBgNV
  13. HRMBAf8EAjAAMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjBABgNVHR8E
  14. OTA3MDWgM6Axhi9odHRwOi8vY3JsLnRoYXd0ZS5jb20vVGhhd3RlUHJlbWl1bVNl
  15. cnZlckNBLmNybDAyBggrBgEFBQcBAQQmMCQwIgYIKwYBBQUHMAGGFmh0dHA6Ly9v
  16. Y3NwLnRoYXd0ZS5jb20wDQYJKoZIhvcNAQEFBQADgYEATPuxZbtJJSPmXvfrr1yz
  17. xqM06IwTZ6UU0lZRG7I0WufMjNMKdpn8hklUhE17mxAhGSpewLVVeLR7uzBLFkuC
  18. X7wMXxhoYdJZtNai72izU6Rd1oknao7diahvRxPK4IuQ7y2oZ511/4T4vgY6iRAj
  19. q4q76HhPJrVRL/sduaiu+gYwggKZMIICAqADAgECAgEAMA0GCSqGSIb3DQEBBAUA
  20. MIGHMQswCQYDVQQGEwJaQTEiMCAGA1UECBMZRk9SIFRFU1RJTkcgUFVSUE9TRVMg
  21. T05MWTEdMBsGA1UEChMUVGhhd3RlIENlcnRpZmljYXRpb24xFzAVBgNVBAsTDlRF
  22. U1QgVEVTVCBURVNUMRwwGgYDVQQDExNUaGF3dGUgVGVzdCBDQSBSb290MB4XDTk2
  23. MDgwMTAwMDAwMFoXDTIwMTIzMTIxNTk1OVowgYcxCzAJBgNVBAYTAlpBMSIwIAYD
  24. VQQIExlGT1IgVEVTVElORyBQVVJQT1NFUyBPTkxZMR0wGwYDVQQKExRUaGF3dGUg
  25. Q2VydGlmaWNhdGlvbjEXMBUGA1UECxMOVEVTVCBURVNUIFRFU1QxHDAaBgNVBAMT
  26. E1RoYXd0ZSBUZXN0IENBIFJvb3QwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGB
  27. ALV9kG+Os6x/DOhm+tKUQfzVMWGhE95sFmEtkMMTX2Zi4n6i6BvzoReJ5njzt1LF
  28. cqu4EUk9Ji20egKKfmqRzmQFLP7+1niSdfJEUE7cKY40QoI99270PTrLjJeaMcCl
  29. +AYl+kD+RL5BtuKKU3PurYcsCsre6aTvjMcqpTJOGeSPAgMBAAGjEzARMA8GA1Ud
  30. EwEB/wQFMAMBAf8wDQYJKoZIhvcNAQEEBQADgYEAgozj7BkD9O8si2V0v+EZ/t7E
  31. fz/LC8y6mD7IBUziHy5/53ymGAGLtyhXHvX+UIE6UWbHro3IqVkrmY5uC93Z2Wew
  32. A/6edK3KFUcUikrLeewM7gmqsiASEKx2mKRKlu12jXyNS5tXrPWRDvUKtFC1uL9a
  33. 12rFAQS2BkIk7aU+ghYxAA==
  34. -----ENDPKCS7-----
将其存储为zlex.p7b
6.将由CA签发的证书导入密钥库。
Shell代码 收藏代码
  1. keytool-import-trustcacerts-aliaswww.zlex.org-filed:\zlex.p7b-keystored:\zlex.keystore-v


在这里我使用的密码为 123456

控制台输出:
Console代码 收藏代码
  1. 输入keystore密码:
  3. 回复中的最高级认证:
  5. 所有者:CN=ThawteTestCARoot,OU=TESTTESTTEST,O=ThawteCertification,ST=FOR
  6. TESTINGPURPOSESONLY,C=ZA
  7. 签发人:CN=ThawteTestCARoot,OU=TESTTESTTEST,O=ThawteCertification,ST=FOR
  8. TESTINGPURPOSESONLY,C=ZA
  9. 序列号:0
  10. 有效期:ThuAug0108:00:00CST1996至FriJan0105:59:59CST2021
  11. 证书指纹:
  12. MD5:5E:E0:0E:1D:17:B7:CA:A5:7D:36:D6:02:DF:4D:26:A4
  13. SHA1:39:C6:9D:27:AF:DC:EB:47:D6:33:36:6A:B2:05:F1:47:A9:B4:DA:EA
  14. 签名算法名称:MD5withRSA
  15. 版本:3
  17. 扩展:
  19. #1:ObjectId:2.5.29.19Criticality=true
  20. BasicConstraints:[
  21. CA:true
  22. PathLen:2147483647
  23. ]
  26. ...是不可信的。还是要安装回复?[否]:Y
  27. 认证回复已安装在keystore中
  28. [正在存储d:\zlex.keystore]


7.域名定位
将域名www.zlex.org定位到本机上。打开C:\Windows\System32\drivers\etc\hosts文件,将www.zlex.org绑定在本机上。在文件末尾追加127.0.0.1 www.zlex.org。现在通过地址栏访问http://www.zlex.org,或者通过ping命令,如果能够定位到本机,域名映射就搞定了。

8.配置server.xml
Xml代码 收藏代码
  1. <Connector
  2. keystoreFile="conf/zlex.keystore"
  3. keystorePass="123456"
  4. truststoreFile="conf/zlex.keystore"
  5. truststorePass="123456"
  6. SSLEnabled="true"
  7. URIEncoding="UTF-8"
  8. clientAuth="false"
  9. maxThreads="150"
  10. port="443"
  11. protocol="HTTP/1.1"
  12. scheme="https"
  13. secure="true"
  14. sslProtocol="TLS"/>


将文件 zlex.keystore拷贝到tomcat的 conf目录下,重新启动tomcat。访问 https://www.zlex.org/,我们发现联网有些迟钝。大约5秒钟后,网页正常显示,同时有如下图所示:

浏览器验证了该CA机构的有效性。

打开证书,如下图所示:


调整测试类:
Java代码 收藏代码
  1. importstaticorg.junit.Assert.*;
  3. importjava.io.DataInputStream;
  4. importjava.io.InputStream;
  5. importjava.net.URL;
  7. importjavax.net.ssl.HttpsURLConnection;
  9. importorg.junit.Test;
  11. /**
  12. *
  13. *@author梁栋
  14. *@version1.0
  15. *@since1.0
  16. */
  17. publicclassCertificateCoderTest{
  18. privateStringpassword="123456";
  19. privateStringalias="www.zlex.org";
  20. privateStringcertificatePath="d:/zlex.cer";
  21. privateStringkeyStorePath="d:/zlex.keystore";
  23. @Test
  24. publicvoidtest()throwsException{
  25. System.err.println("公钥加密——私钥解密");
  26. StringinputStr="Ceritifcate";
  27. byte[]data=inputStr.getBytes();
  29. byte[]encrypt=CertificateCoder.encryptByPublicKey(data,
  30. certificatePath);
  32. byte[]decrypt=CertificateCoder.decryptByPrivateKey(encrypt,
  33. keyStorePath,alias,password);
  34. StringoutputStr=newString(decrypt);
  36. System.err.println("加密前:"+inputStr+"\n\r"+"解密后:"+outputStr);
  38. //验证数据一致
  39. assertArrayEquals(data,decrypt);
  41. //验证证书有效
  42. assertTrue(CertificateCoder.verifyCertificate(certificatePath));
  44. }
  46. @Test
  47. publicvoidtestSign()throwsException{
  48. System.err.println("私钥加密——公钥解密");
  50. StringinputStr="sign";
  51. byte[]data=inputStr.getBytes();
  53. byte[]encodedData=CertificateCoder.encryptByPrivateKey(data,
  54. keyStorePath,alias,password);
  56. byte[]decodedData=CertificateCoder.decryptByPublicKey(encodedData,
  57. certificatePath);
  59. StringoutputStr=newString(decodedData);
  60. System.err.println("加密前:"+inputStr+"\n\r"+"解密后:"+outputStr);
  61. assertEquals(inputStr,outputStr);
  63. System.err.println("私钥签名——公钥验证签名");
  64. //产生签名
  65. Stringsign=CertificateCoder.sign(encodedData,keyStorePath,alias,
  66. password);
  67. System.err.println("签名:\r"+sign);
  69. //验证签名
  70. booleanstatus=CertificateCoder.verify(encodedData,sign,
  71. certificatePath);
  72. System.err.println("状态:\r"+status);
  73. assertTrue(status);
  75. }
  77. @Test
  78. publicvoidtestHttps()throwsException{
  79. URLurl=newURL("https://www.zlex.org/examples/");
  80. HttpsURLConnectionconn=(HttpsURLConnection)url.openConnection();
  82. conn.setDoInput(true);
  83. conn.setDoOutput(true);
  85. CertificateCoder.configSSLSocketFactory(conn,password,keyStorePath,
  86. keyStorePath);
  88. InputStreamis=conn.getInputStream();
  90. intlength=conn.getContentLength();
  92. DataInputStreamdis=newDataInputStream(is);
  93. byte[]data=newbyte[length];
  94. dis.readFully(data);
  96. dis.close();
  97. conn.disconnect();
  98. System.err.println(newString(data));
  99. }
  100. }


再次执行,验证通过!
由此,我们了基于SSL协议的认证过程。测试类的testHttps方法模拟了一次浏览器的HTTPS访问。
iteye_4639
关注
Java实现常用加密算法——单向加密算法MD5和SHA
09-01
虽然MD5和SHA-1仍然广泛应用于许多安全敏感的领域,但随着计算机技术的发展,这些算法的安全性受到越来越多的挑战,特别是它们对于碰撞攻击的脆弱性。因此,更安全的算法,如SHA-256和SHA-3,逐渐成为推荐使用的加密...
snowolf-Java 加密技术
01-12
Java加密技术是软件开发中一个至关重要的领域,主要用于保护数据的安全性和隐私,防止未经授权的访问或篡改。本文将深入探讨Java中常见的加密技术,包括基础的单向加密算法、对称加密、非对称加密以及数字证书等相关...
Java加密技术
中源
05-08 367
Java 加密技术(九)中,我们使用自签名证书完成了认证。接下来,我们使用第三方CA签名机构完成证书签名。     这里我们使用thawte提供的测试用21天免费ca证书。     1.要在该网站上注明你的域名,这里使用www.zlex.org作为测试用域名(请勿使用该域名作为你的域名地址,该域名受法律保护!请使用其他非注册域名!)。     2.如果域名有效,你会收到邮件要求你访问https:...
java 常用对称加密_java常用加密解密简单实现(转载)
weixin_30404433的博客
02-13 490
java常用加密解密简单实现(转载)(2011-02-24 16:20:25)标签:加密解密杂谈加密算法有很多种:这里只大约列举几例:1:消息摘要:(数字指纹):既对一个任意长度的一个数据块进行计算,产生一个唯一指纹。MD5/SHA1发送给其他人你的信息和摘要,其他人用相同的加密方法得到摘要,最后进行比较摘要是否相同。2:单匙密码体制:DES:比较简便高效,密钥简短,加解密速度快,破译极其困难,但...
证书文件格式
远方客的专栏
11-08 1454
证书的四种存储格式
PKCS7带签名的数字信封
weixin_43432215的博客
12-07 2711
PKCS7带签名的数字信封两种不同方法进行解密
Java读取证书的两种方式
江湖人称小程的博客
11-06 8439
关于证书基础以及创建、查看、删除、导入、导出以及其他功能详解请参照:Java使用keytool创建CA证书 Java读取证书有两种方式 1.从文件中读取 public static void main(String[] args) throws CertificateException, IOException, KeyStoreException, NoSuchAlgorithmExceptio...
Java加密技术详解:MD5、SHA与BASE64应用全集
Java加密技术全集这篇文档详细地介绍了在Java语言中进行数据加密的各种方法和技术。数据加密是信息安全的一个重要分支,旨在对数据进行编码转换,以防止未授权的访问和使用。Java作为一种广泛使用的编程语言,自然...
Java加密技术入门:BASE64、MD5、SHA与HMAC解析
"本文主要介绍了Java加密技术中的基础单向加密算法,包括BASE64、MD5、SHA和HMAC。这些算法在数据保密性方面发挥着重要作用,为信息安全提供了一定保障。" 在Java中,加密技术是确保数据安全的重要手段,它能够保护...
Java实现MD5与SHA单向加密算法详解
"Java实现常用加密算法——单向加密算法MD5和SHA" 在Java编程中,加密技术是确保数据安全的重要工具。本篇文章聚焦于两种单向加密算法:MD5(Message-Digest Algorithm 5)和SHA(Secure Hash Algorithm),它们在...
pkcs#7标准格式
04-10
文档介绍了pkcs#7的格式和结构,里面虽然是英文的,但是很详细的,能看到,另外用ASN1工具和这个结合能很快的理解pkcs#7的结构。
java数字签名(签名生成,用证书验证签名)
06-09
证书(Certificate,也称public-key certificate)是用某种签名算法对某些内容(比如公钥)进行数字签名后得到的、可以用来当成信任关系中介的数字凭证。证书发行机构通过发行证书 告知证书使用者或实体其公钥(public-key)以及其它一些辅助信息。证书在电子商务安全交易中有着广泛的应用,证书发行机构也称 CA(Certificate Authority)
基于JAVA的CA认证中心实现
09-20
介绍了用Java和0penSsL构建一个小型cA系统的方法。
openssl库编译-及16进制的key转Rsa数据结构
smilestone322的专栏
05-15 3472
1. linux 下编译 源码地址为:https://www.openssl.org/source/old/;当前最新版本为 1.1.0f,https://www.openssl.org/source/old/1.1.0/openssl-1.1.0f.tar.gz 源码编译 解压之后,进入源码目录openssl-1.1.0f,执行如下命令。因为只需要编译静态库,也没有特殊要求,所以使用的编译选项配置很简单: 1 2 ./config-fPIC no-share.
PKI常见证书格式和转换[转]
热门推荐
adeyi的专栏
12-15 2万+
1.证书格式 PEM 格式 PEM格式通常用于数字证书认证机构(Certificate Authorities,CA),扩展名为.pem, .crt, .cer, and .key。内容为Base64编码的ASCII码文件,有类似"-----BEGIN CERTIFICATE-----" 和 "-----END CERTIFICATE-----"的头尾标记。服务器认证证书,中级认证
SM2证书链验证(P7B)【含资源!见页首】
最新发布
这么小声还想开军舰?!
12-11 2411
由上图可见,根证书于子级CA证书之前被导出,我们的证书验证模块读取顺序为先读取子级证书,再读取上级证书。故将导出的证书反序进入证书验签模块,即可完成对于证书链中每个证书的数字签名的验证。如图上所示,证书链中每个整数的基本证书域Tbs、签名值sign域能够借由上级证书的公钥实现验证,那么关于证书链中证书本身字段的合规性,以及根证书的真实性验证,可以查看。再为文件添加上-----BEGIN PKCS7----------END PKCS7-----;SM2证书验证全过程见[GMSSL系列4]SM2证书验证。
OpenSSL命令---pkcs7
VitalityShow(网络通讯)
11-13 1万+
用于处理DER或者PEM格式的pkcs#7文件。
手动实现CA数字认证java
qq_51715571的博客
12-05 5055
数字签名、CA认证、加密算法
Go-加密学() - 证书crt、pem、pfx、cer、key 作用及区别
xiangjai的专栏
06-15 1万+
一、编码格式 二、相关的文件扩展名
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值