Netty服务添加https支持,jdk 证书

最新推荐文章于 2024-07-17 08:27:35 发布
最新推荐文章于 2024-07-17 08:27:35 发布
阅读量960 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: java 文章标签: ssl java https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41165981/article/details/112366467
本文介绍了如何使用JDK的keytool生成keystore,以及如何在Java中通过SSLContext创建SSLEngine,用于Netty服务器端的安全通信。此外,还展示了如何在客户端使用Apache HttpClient跳过证书验证进行HTTPS连接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、使用JDK自带的keytool生成一个keystore,这个keystore是服务端使用的,直接在bin目录下执行

keytool -genkey -alias netty -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/test/netty.keystore -storepass 123456

2、新建一个安全工具类,用于返回一个SSLEngine

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLEngine;
import java.security.KeyStore;
import java.security.Security;
/**
 * @description: SSL服务器端认证
 */
public class HttpSslContextFactory {
    private static final Logger LOGGER = LoggerFactory.getLogger(HttpSslContextFactory.class);
//    private static final String PROTOCOL = "SSLv2";
    private static final String PROTOCOL = "SSLv3";//客户端可以指明为SSLv3或者TLSv1.2
    /**针对于服务器端配置*/
    private static SSLContext sslContext = null;
    static {
        String algorithm = Security
                .getProperty("ssl.KeyManagerFactory.algorithm");
        if (algorithm == null) {
            algorithm = "SunX509";
        }
        SSLContext serverContext = null;
        try {
            KeyStore ks = KeyStore.getInstance("JKS");
            ks.load(HttpsKeyStore.getKeyStoreStream(), HttpsKeyStore.getKeyStorePassword());
            KeyManagerFactory kmf = KeyManagerFactory.getInstance(algorithm);
            kmf.init(ks, HttpsKeyStore.getCertificatePassword());
            serverContext = SSLContext.getInstance(PROTOCOL);
            serverContext.init(kmf.getKeyManagers(), null, null);
        } catch (Exception e) {
            LOGGER.error("初始化server SSL失败", e);
            throw new Error("Failed to initialize the server SSLContext", e);
        }
        sslContext = serverContext;
    }
    public static SSLEngine createSSLEngine() {
        SSLEngine sslEngine = sslContext.createSSLEngine();
        sslEngine.setUseClientMode(false);
        sslEngine.setNeedClientAuth(false);
        return sslEngine ;
    }
}

上面的有一个HttpsKeyStore类如下,分别如下:

 


import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.InputStream;

public class HttpsKeyStore {
    private static final Logger LOGGER = LoggerFactory.getLogger(HttpsKeyStore.class);

    /**
     * 读取密钥
     * @version V1.0.0
     * @return InputStream
     */
    public static InputStream getKeyStoreStream() {
        InputStream inStream = null;
        try {
            inStream = new FileInputStream(VarConstant.keystorePath);
        } catch (FileNotFoundException e) {
            LOGGER.error("读取密钥文件失败", e);
        }
        return inStream;
    }

    /**
     * 获取安全证书密码 (用于创建KeyManagerFactory)
     * @version V1.0.0
     * @return char[]
     */
    public static char[] getCertificatePassword() {
        return VarConstant.certificatePassword.toCharArray();
    }

    /**
     * 获取密钥密码(证书别名密码) (用于创建KeyStore)
     * @version V1.0.0
     * @return char[]
     */
    public static char[] getKeyStorePassword() {
        return VarConstant.keystorePassword.toCharArray();
    }
}

其中常量类VarConstant的几个属性如下,其他的不再粘贴:

 

//SSL
public static Boolean sslEnabled = true;
public static String keystorePath = "D:/test/netty.keystore";
public static String certificatePassword = "123456";
public static String keystorePassword = "123456";

3、上面的步骤做好之后,我们只需给Netty的pipeline的添加第一个的handler,如下:

 

//是否开启SSL
if (VarConstant.sslEnabled) {
   //务必放在第一位
   ch.pipeline().addLast("sslHandler", new SslHandler(HttpSslContextFactory.createSSLEngine()));
}

4、基本的步骤就是上面这样子,如果要添加双向认证,还需另外生成客户端证书,通过以上这种方式,客户端只需跳过证书认证即可,如使用apache httpclients,跳过认证代码如下:

 

public static CloseableHttpClient getHttpsClient(){
    SSLContext sslContext = null;
    try {
        //SSLv3或者TLSv1.2都可以
        sslContext = new SSLContextBuilder().useProtocol("TLSv1.2").loadTrustMaterial(null, new TrustStrategy() {
            // 默认信任所有证书
            public boolean isTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
                return true;
            }
        }).build();
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
    } catch (KeyManagementException e) {
        e.printStackTrace();
    } catch (KeyStoreException e) {
        e.printStackTrace();
    }
    HostnameVerifier hostnameVerifier = SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER;
    SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext,hostnameVerifier);

    SocketConfig socketConfig = SocketConfig.custom()
            .setSoKeepAlive(true)
            .setTcpNoDelay(true)
            .setSoReuseAddress(true)
            .build();
    RequestConfig requestConfig = RequestConfig.custom()
            .setConnectTimeout(30000)
            .setSocketTimeout(30000).build();

    HttpClientBuilder clientBuilder = HttpClientBuilder.create();
    return clientBuilder
            .setSSLSocketFactory(sslsf)
            .setDefaultRequestConfig(requestConfig)
            .setDefaultSocketConfig(socketConfig).build();
}
Netty手写Http/Https服务
Cover_sky的博客
01-23 898
如果你想实现http请求,需要把HttpServer中的SSL置为false,结果如下如果你想实现Https的请求,则将SSL的变量置为true,目前的代码中是没有支持客户端的SSL请求的,我们可以在postman或者chrome浏览器中查看由于我们的证书是自己设置的,所以chrome浏览器认为这个证书不是有效的,需要我们手动点击IDEA中会出现红色证书错误,暂时可以不用管,你还可以在postman的GET请求中添加body到此http的简易服务器就搭建好了。
基于Netty实现安全认证的WebSocket(wss)服务
u013771019的专栏
05-27 2707
4.1生成mystore.jks后,不导入证书,直接启动服务端使用;选择证书存储为【受信任的根证书颁发机构】,完成即可。】中基本一样,只是把服务端地址的协议头修改为wss。或者导入证书后不手动信任,客户端进行连接时候,会报错。启动服务端,然后启动客户端,连接和接发数据都正常。双机上面生成的证书文件mystore.cer,4.2 客户端连接服务端的地中,协议头还是ws。可以看到证书此时不受信任,点击【安装证书JavaScript客户端代码,也是和 【再次双击原证书,可以看到证书已经受信任了。
Netty双向认证以及白名单证书验证
02-27
使用Netty搭建服务配置Https双向认证可以参考此代码
netty使用ssl证书https请求
chy2z的专栏
04-25 5622
1 本文内容在netty4.04测试通过。2 前面提到了ssl免费申请,请详见《免费ssl申请和tomcat ssl 配置》。3 继续使用腾讯云免费申请的ssl证书chy.lznytz.com.jks。4 maven项目结构如下:将证书拷贝到resources中  5  核心代码1) 在程序初始化的时候生成SSLContext,私钥密码填写自己申请的,整个程序只需要做一次。 2) 在Channel
netty支持https
weixin_30872733的博客
01-31 182
在 集成 ChannelInitializer<SocketChannel> 实现 File certificate = new File("/Users/wucao/Desktop/https/1_gw2.vsgames.cn_bundle.crt"); // 证书 File privateKey = new File("/Users/wucao/Desktop/https...
Netty支持https服务
浪迹天涯
09-14 1631
@Override public void run() { // 端口是否已经被占用 if (!NetUtil.localPortAbled(port)) { LOG.error("LoginServer端口[{}]已被占用", port); System.exit(0); } try { ServerBootstrap b = new ServerBoo...
利用Netty构建HTTP和HTTPS服务
介绍Netty以及HTTP和HTTPS协议的基础知识 ## 1.1 Netty简介 Netty是一个基于Java NIO的网络应用框架,可以快速开发可维护的高性能网络服务器和客户端程序。它的设计非常灵活,可以适用于各种不同的传输类型和协议...
Netty SSL/TLS
王小工小工历程
07-17 1065
SSL(Secure Sockets Layer)是网景公司设计的协议,用于在互联网上提供安全通信。TLS(Transport Layer Security)是SSL的后续版本,由IETF标准化,两者在技术上非常相似,通常可以视为同一个东西的不同阶段或版本。SSL/TLS协议的主要目的是在客户端和服务器之间建立一个加密的通道,以保护数据在传输过程中不被窃听、篡改或冒充。Netty是一个高性能、异步事件驱动的网络应用框架,用于快速开发可维护的高性能、高扩展性协议服务器和客户端。
HTTPS与WSS证书配置
shgg2917的博客
04-29 5819
登陆之后,直接在产品和服务器中搜索【证书
netty配置SSLnetty配置https(生产环境)
凌康的博客
05-13 2014
netty配置SSLnetty配置https(生产环境)那么netty如何使用可信任的证书呢?分以下步骤: 1、可靠机构颁发正规证书 2、正规证书转换为netty可加载的证书 3、netty加载证书处理channel初始化
netty初使用——实现http及https代理服务
jumprn的博客
06-04 5718
承接前两篇用java原生nio和bio写的https代理服务器,这篇是用netty实现https代理服务器。上篇用nio实现代理服务器时需要自己去控制消息发送和接收的次序,我们就用了一个selector,这个次序是所有注册在我们所有的io channel注册在这个统一的selector上就绪后的次序,那么你就必须自己严格控制客户端到代理服务器的channel和代理服务器到目标服务器...
Netty添加https支持
huanongdetian的博客
05-03 9736
1、使用JDK自带的keytool生成一个keystore,这个keystore是服务端使用的keytool -genkey -alias netty -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/test/netty.keystore -storepass 123456 2、新建一个安全工具类,用于返回一...
netty-websocket服务配置阿里云SSL证书安全访问配置,亲测有效
qq_53058639的博客
03-01 1817
背景:java服务包括https访问和websocket访问,当https接口访问ws请求时报错,因为https能访问wss。申请阿里云免费证书后,搜索各种教程比如nginx配置方式、netty访问证书等。走了不少弯路,终于走通一种。关键点:1、因为使用了netty,nginx配置wss的方式没有走通。需要将证书放到netty启动的方式启动才可以。2、网上教程大多数是pkcs12的证书生成方式。但是netty仅仅支持pkcs8 的版本,所以需要生成pkcs12之后再转pkcs8.
如何让Embed Tomcat和Netty支持HTTPS
流子的专栏
12-16 2369
背景: 根据苹果 APPSTORE 于 2017年1月1日起 启用ATS 协议的要求(即客户端和服务器的HTTP 请求 需要启用SSL连接)需要尽快将我们 服务端的HTTP 转换成HTTPS,详见 【SSL证书】应对IOS安全策略升级,你准备好了吗? 版本要求:JDK:1.8 Embed Tomcat 8.0.33  Netty  4.0.33 申请证书:目前是在阿里云上申
netty配置SSLnetty配置https(开发)
凌康的博客
05-10 709
netty配置SSLnetty配置https(开发)我们在开发下使用ssl,所用的证书将不被客户端信任。方案一, 快速。使用netty提供的临时签发证书
netty https+wss
iamgamer的博客
01-03 2944
各种新的规范出现,因此基础需求也得更新换代。 在使用https与wss前,需要了解几个东西: 1.服务ssl证书,这个商用都需要到正规平台去申请。开发阶段可以用相关工具创建测试用的证书服务器使用。这里我用的是java的keytools来创建的。 命令如下: keytool -genkey -alias netty -keypass 123456 -keyalg RSA -keysiz...
Netty5使用自签证书实现SSL安全连接
anw53724的博客
02-23 292
这次使用的Netty是最新的5.0 Alpha2版本,下载地址是:http://dl.bintray.com/netty/downloads/netty-5.0.0.Alpha2.tar.bz2,发布时间是2015年3月,到现在快一年了,咋还不更新呢?有些奇怪…… 制作一张自签证书(jks格式) #keytool -genkey -keysize 2048 -validity 3...
基于Netty实现https代理客户端
qq_43520928的博客
03-20 2059
基于Netty实现https代理客户端
Netty如何集成SSL/TLS以支持HTTPS
最新发布
10-19
Netty是一个高性能、异步事件驱动的网络应用框架,用于快速构建高效的服务器和客户端通信。为了集成SSL/TLS支持HTTPS,你可以按照以下步骤操作: 1. **添加依赖**:在你的项目中引入相关的SSL/TLS库,如JSSE(Java Secure Socket Extension),它已经包含在标准的JDK中。 ```java // 如果你使用的是Maven <dependency> <groupId>io.netty</groupId> <artifactId>netty-tcnative-boringssl-static</artifactId> </dependency> // 或者Gradle implementation 'io.netty:netty-tcnative-boringssl-static' ``` 2. **创建SSLContext**:使用`KeyManagerFactory`和`TrustManagerFactory`从Keystore加载SSL证书和密钥对。 ```java KeyStore keyStore = KeyStore.getInstance("JKS"); keyStore.load(new FileInputStream("path_to_keystore"), "password".toCharArray()); KeyManager[] keyManagers = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()) .load(keyStore, "password".toCharArray()).getKeyManagers(); TrustManager[] trustManagers = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()) .load(keyStore, "password".toCharArray()).getTrustManagers(); SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(keyManagers, trustManagers, new SecureRandom()); ``` 3. **配置ChannelInitializer**:在`Bootstrap`初始化时,设置一个`ServerBootstrap`的ChannelInitializer,该初始化器会为每个连接创建一个新的`SSLEngine`并绑定到通道上。 ```java Bootstrap b = new Bootstrap(); b.group(...).channel(NioServerSocketChannel.class) .childHandler(new ChannelInitializer<SocketChannel>() { @Override protected void initChannel(SocketChannel ch) throws Exception { ch.pipeline().addLast(new SslHandler(sslContext)); // ... 其他管道配置 } }); ``` 4. **启动服务**:使用`bind`方法监听特定端口并开始处理HTTPS请求。 ```java b.bind(port).sync(); ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yzgu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值