java keystore 实现ssl双向认证【客户端为php和java】

最新推荐文章于 2023-02-19 17:47:41 发布
最新推荐文章于 2023-02-19 17:47:41 发布
阅读量623 收藏 1
点赞数
文章标签: java php webservice ssl https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shen_huan/article/details/84756638
版权
本文介绍了如何使用Java Keystore实现SSL双向认证,包括生成服务器和客户端证书、配置Tomcat仅允许HTTPS连接、将客户端证书导入浏览器以及Java和PHP调用服务器端的步骤。在PHP调用时,需将p12证书转换为pem格式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.首先搭建server端环境:

准备工作:tomcat6、jdk7、openssl、javawebservice测试项目一个

2.搭建过程:

参考http://blog.youkuaiyun.com/chow__zh/article/details/8998499

 1.1生成服务端证书

keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:/SSL/server/tomcat.keystore -dname "CN=127.0.0.1,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN" -validity 3650 -storepass zljzlj -keypass zljzlj

 

说明:
keytool 是JDK提供的证书生成工具,所有参数的用法参见keytool –help
-genkey 创建新证书
-v 详细信息
-alias tomcat 以”tomcat”作为该证书的别名。这里可以根据需要修改
-keyalg RSA 指定算法
-keystore D:/SSL/server/tomcat.keystore 保存路径及文件名
-dname "CN=127.0.0.1,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN" 证书发行者身份,这里的CN要与发布后的访问域名一致。但由于我们是自己发行的证书,如果在浏览器访问,仍然会有警告提示。
-validity 3650证书有效期,单位为天
-storepass zljzlj 证书的存取密码
-keypass zljzlj 证书的私钥
    1.2 生成客户端证书 
    执行命令:
keytool ‐genkey ‐v ‐alias client ‐keyalg RSA ‐storetype PKCS12 ‐keystore D:/SSL/client/client.p12 ‐dname "CN=client,OU=zlj,O=zlj,L=bj,ST=bj,C=CN" ‐validity 3650 ‐storepass client ‐keypass client
说明:
    参数说明同上。这里的-dname 证书发行者身份可以和前面不同,到目前为止,这2个证书可以没有任何关系。下面要做的工作才是建立2者之间的信任关系。
    1.3 导出客户端证书 
    执行命令:
keytool ‐export ‐alias client ‐keystore D:/SSL/client/client.p12 ‐storetype PKCS12 ‐storepass client ‐rfc ‐file D:/SSL/client/client.cer
说明:
-export 执行导出
-file 导出文件的文件路径
    1.4 把客户端证书加入服务端证书信任列表 
    执行命令:
keytool ‐import ‐alias client ‐v ‐file D:/SSL/client/client.cer ‐keystore D:/SSL/server/tomcat.keystore ‐storepass zljzlj
说明:
参数说明同前。这里提供的密码是服务端证书的存取密码。
    1.5 导出服务端证书 
    执行命令:
keytool -export -alias tomcat -keystore D:/SSL/server/tomcat.keystore -storepass zljzlj -rfc -file D:/SSL/server/tomcat.cer
说明:
把服务端证书导出。这里提供的密码也是服务端证书的密码。
    1.6 生成客户端信任列表 
    执行命令:
keytool -import -file D:/SSL/server/tomcat.cer -storepass zljzlj -keystore D:/SSL/client/client.truststore -alias tomcat –noprompt
说明:
让客户端信任服务端证书
2. 配置服务端为只允许HTTPS连接
    2.1 配置Tomcat 目录下的/conf/server.xml 
Xml代码  收藏代码
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"    
       maxThreads="150" scheme="https" secure="true" clientAuth="true"    
       sslProtocol="TLS" keystoreFile="D:/SSL/server/tomcat.keystore"    
       keystorePass="zljzlj" truststoreFile="D:/SSL/server/tomcat.keystore"    
       truststorePass="zljzlj" />   
说明:

在server.xml里面这段内容本来是被注释掉的,如果想使用https的默认端口443,请修改这里的port参数。其中的clientAuth="true" 指定了双向证书认证。

2.将client.p12导入浏览器个人证书项中。

此时输入https://127.0.0.1:8443/会出现选择证书,点确定会提示https页面不安全是否继续,点继续。到此服务端搭建完成。

3.java调用server端直接上代码:

package test;
import javax.xml.namespace.QName;

import org.apache.axis.client.Call;
import org.apache.axis.client.Service;
import org.apache.axis.encoding.XMLType;
/**
 * 
 * @author gshen
 *
 */
public class TestEcVoteNotice {
	  public static void main(String [] args) throws Exception {  
		    System.setProperty("javax.net.ssl.trustStorePassword","zljzlj");    
		    System.setProperty("javax.net.ssl.keyStoreType","PKCS12") ;    
		    System.setProperty("javax.net.ssl.keyStore","D:/SSL/client/client.p12") ;    
		    System.setProperty("javax.net.ssl.keyStorePassword","client") ;          
	        System.setProperty("javax.net.debug", "all");
	        
	      //wsdl地址
			String endpoint = "https://192.168.1.146:8443/pro/ws/getInfoService?wsdl";
			//http://jarfiles.pandaidea.com/ 搜索axis.jar并下载,Service类在axis.jar
			Service service = new Service();
			//http://jarfiles.pandaidea.com/ 搜索axis.jar并下载,Call类在axis.jar
			Call call = null;
			try {
				call = (Call) service.createCall();
				//设置Call的调用地址
				call.setTargetEndpointAddress(new java.net.URL(endpoint));
				//根据wsdl中 <wsdl:import location="https://192.168.10.24:8443/ShinService/HelloWorld?wsdl=HelloService.wsdl" 
				//namespace="http://server.cxf.shinkong.cn/" /> ,
				//<wsdl:operation name="findALL">
				call.setOperationName(new QName("http://ws.task.xm.com/","sayHello"));  
				 //参数1对应服务端的@WebParam(name = "tableName") 没有设置名称为arg0
				call.addParameter("id", XMLType.SOAP_STRING, javax.xml.rpc.ParameterMode.IN);
	            //调用方法的返回值
	            call.setReturnType(org.apache.axis.Constants.XSD_STRING);  
	            //调用用Operation调用存储过程(以服务端的方法为准)
				String res = (String) call.invoke(new Object[] {"1"});  //调用存储过程
				System.out.println(res);
			} catch (Exception e) {
				e.printStackTrace();
				System.out.println(e.getMessage());
			}
	      }  
}

 直接命令行运行或右键run as ,server端项目中我直接做了log打印,只要调用就会有打印。执行后

请看附件。

重点来了,接下来是php调用server,php的soapClient只识别DER、PEM或者ENG格式的证书,所以必须要把client.p12转换为php可识别的pem文件,这时用到了openssl,首先进入cmd命令行,敲入以下代码

openssl pkcs12 -in D:\SSL\client\client.p12 -out D:\SSL\client\client-cer.pem -clcerts

 如果提示openssl命令不识别则是你没安装openssl ,如果执行成功会提示你先输入client.p12的密码,输入后会让你输入导出的cer.pe的密码,输入后大功告成,client-cer.pem生成成功!。

这时上php代码:

$params = array('id' => '2');

	$local_cert = "./client-cer.pem";
 	set_time_limit(0);
 	try{
 		//ini_set("soap.wsdl_cache_enabled", "0"); // disabling WSDL cache
 		$wsdl='https://192.168.1.146:8443/pro/ws/getInfoService?wsdl';
 	//	echo file_get_contents($wsdl);
 		
 		$soap=new SoapClient($wsdl, 
	 				array(
	 					'trace'=>true,
		 				'cache_wsdl'=>WSDL_CACHE_NONE, 
		 				'soap_version'   => SOAP_1_1, 
		 				'local_cert' => $local_cert, //client证书信息
		                'passphrase'=> 'client', //密码
		               // 'allow_self_signed'=> true
	                )
				);
 		$result=$soap->sayHello($params);
 		$result_json= json_encode($result);
 		$result= json_decode($result_json,true);
 		echo '结果为:' . json_decode($result['return'],true);
 	}catch(Exception $e) {
 		$result['success'] = '0';
 		$result['msg'] = '请求超时';
 		echo $e->getMessage();
 	}
	echo '>>>>>>>>>>>';

 直接运行,也会出现附件中的结果,打完收工,憋了我整整三天时间,终于搞定了。

shen_huan
关注
https 单向认证双向认证
21空间的博客
07-14 2391
双向认证,也称为双向SSL/TLS认证,是指客户端服务器相互验证对方的身份:服务器向客户端提供数字证书,客户端也需要提供自己的数字证书供服务器验证;客户端不仅被动接收数据,还需要主动证明自己的身份;服务器验证客户端的公钥数字证书以确认与其连接的客户端是合法可信的。单向认证客户端(通常是浏览器)验证服务器的身份:服务器向客户端提供数字证书,客户端通过验证该证书的真实性以确认与服务器的连接是安全的。
关于https双向认证详解tomcat+java实现交叉验证
Ender__的专栏
06-18 3208
关于https双向认证详解 原doc文档导出pdf https://github.com/enderwsp/share4u/raw/master/%E5%85%B3%E4%BA%8Ehttps%E7%9A%84%E5%8F%8C%E5%90%91%E8%AE%A4%E8%AF%81%E8%AF%A6%E8%A7%A3tomcat%2Bjava%E5%AE%9E%E7%8E%B0%E4%BA%...
java环境中配置SSL双向认证
StoneOK07的专栏
10-25 1274
转载:http://blog.sina.com.cn/s/blog_74a86d52010177v7.html 在Java环境中配置SSL双向认证     在Java环境中配置Https双向认证,需要使用JDK自带的keytool工具,在命令行方式下,生成服务器证书申请文CSR,然后到CA签发服务器证书。 以下为在TomcatWeblogic中配置Https双向认证的步骤,环
Java jdk keytool 实现SSL双向认证的方法(客户端与服务器)
HD243608836的博客
10-15 3122
本文实例讲述了Java实现SSL双向认证的方法。分享给大家供大家参考,具体如下: 我们常见的SSL验证较多的只是验证我们的服务器是否是真实正确的,当然如果你访问的URL压根就错了,那谁也没有办法。这个就是所谓的SSL单向认证。 但是实际中,我们有可能还会验证客户端是否符合要求,也就是给我们每个用户颁发一个证书,比且每个数字证书都是唯一的,不公开的。这样就能通过这个数字证书保证当前访问我服务器的这个用户是经过服务器认可的,其他人不可访问。 双向认证 从第一个层面上 确保了服务器 与客户端 都是互相认可的
javaSSL认证keystore使用
热门推荐
ywb201314的专栏
06-01 1万+
好久没用过SSL认证了,东西久不用,就有点生疏。博客就是有这个好处,可以做备忘录。 java中是通过SSL认证,使用的是SSLSocket,通过SSLSocketFactory可以获得SSLSocket实例对象。通常SSLSocketFactory需要一个SSLContext环境对象来构建, 构建一个SSLContext 环境: SSLContext sslc=SSLContext.getI
java javax.net.ssl.keystore冲突解决?,为什么java使用JAVA_HOME / lib / security / cacerts的默认位置keystore / trusts...
weixin_39797912的博客
02-27 769
In my java application I am running with supplied -Djavax.net.ssl.trustStore System properties as below.-Djavax.net.ssl.trustStore=/myapp/app.jks -Djavax.net.ssl.trustStorePassword=XXXXX -Djavax.net....
PHP中使用 JKS(Java Key Store)的方法
bluehire的专栏
06-22 2579
PHP语言无法直接读取 JKS中的密钥,需要通过以下方法进行转换 本例以JKS中的私钥为例 首先 使用 KeyStore Explorer工具,打开JKS文件 ,此时可能需要输入 JKS密码 对私钥进行导出 Export Private Key,  此时可能 需要输入 密钥密码 导出 为 PKCS#8 格式, 此时需要输入两次 密钥密码 ( 一定要输入) 然后 到
Android做客户端,PC做服务器端,SSLSocket通信,双向认证
jhbxlx的专栏
12-11 4216
最近上Trustworthy Computing这课的,终于结课了。最后的Final Project熬了几天夜总算做出来了。 题目是Android Based Medical Record Security, 老师就给了个题目,实现方法任意。 然后就网上各种查资料,其实关于SSL双向验证的还挺多,大家可以搜一下,基本原理就不赘述了,讲个思路。 做网络编程的我们都应该学过Socket通
Java学习(中)
Lzdnydppx的博客
08-11 1286
正则表达式、加密与安全、多线程、Maven基础、网络编程、XML与JSON、JDBC编程、函数式编程、设计模式
HttpClient(apache) 与 java.net.URL ---处理http请求
济天下68的博客
08-24 5667
HttpClient(apache) 与java.net.URL 处理http请求 ① :org.apache.http.client.HttpClient; Http协议的重要性相信不用我多说了,HttpClient相比传统JDK自带的URLConnection,增加了易用性灵活性(具体区别,日后我们再讨论),它不仅是客户端发送Http请求变得容易,而且也方便了开发人员测试接口(基于H
java javax.net.ssl.keystore冲突解决?_如何在jar中使用文件作为javax.net.ssl.keystore
weixin_42364833的博客
02-27 1020
小编典典仍在实施中,但我相信可以通过InputStream从jar中加载密钥库,并以编程方式显式设置TrustStore(与设置System属性相对)。得到它的工作!InputStream keystoreInput = Thread.currentThread().getContextClassLoader().getResourceAsStream(/client.ks");InputStre...
KEYTOOL
chiyonghuai5224的博客
11-27 412
Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥(key)证书(certificates)存在一个称为keystore的文件中。 在keystore里,包含两种数据: (1)密钥实体(Key entity)——密钥(secret key)又或者是私钥配对公钥...
https java 客户端_Java客户端证书通过HTTPS / SSL
weixin_31520593的博客
02-23 467
虽然不推荐,但您也可以一起禁用SSL证书validation:import javax.net.ssl.*; import java.security.SecureRandom; import java.security.cert.X509Certificate; public class SSLTool { public static void disableCertificateValidat...
SSL/STL是什么?怎么工作的?Keystore Truststore是什么?
Harry的博客
02-19 3365
安全套接字层(Secure Sockets Layer),也称为 SSL,是一种加密协议(encryption protocol),可在 Internet 上的设备之间创建身份验证的通道(authenticated channel),以便可以安全地共享信息。本质上,SSL 将“s”放在以“https://”开头的 URL 中,这意味着您与服务器之间的连接是安全的。 SSL 一直是网站的安全标准,直到 1999 年,更新的协议传输层安全 (TLS) 取代了它。尽管现代网站实际上使用了 TLS,但 SSL
java jceks 密钥_Java中不同类型的密钥库(Keystore) – 概述
weixin_31162865的博客
02-13 1256
阅读:877密钥库是用于存储加密密钥证书的存储工具 ,最常用于SSL通信,以证明服务器客户端的身份。密钥库可以是文件或硬件设备。有三种类型的条目可以存储在密钥库中,取决于密钥库的类型,这三种类型的条目分别是:PrivateKey:用于非对称加密的密钥,通常由于其敏感性而受密码保护。它还可用于签署数字签名;Certificate证书:证书包含一个公钥,可以识别证书中声明的主题 (Subject)...
java https 单向认证_Java Https单向,双向验证
weixin_32287177的博客
02-12 671
https一般来说有单项SSL双向SSL连接之分。单项SSL连接,也就是只是客户端验证服务器证书。tomcat中clientAuth="false"的时候,HTTPS单向验证如下:importjava.io.BufferedReader;importjava.io.InputStreamReader;importjava.io.OutputStream;importjava.net.UR...
Java笔记-为客户端及服务端创建公私钥的密钥库
IT1995的博客
08-26 1450
使用密钥库使得客户端与服务器之间进行安全的通信,通过下面的方式生成公钥私钥库: 1. 创建client及server的keystore。 2. 从keystore中导出certificate。 3. 将client的certificate导入到server的keystore,将server的certificate导入到client的keystore。 生成客户端及服务端的keystore 下面这个命令生成2048位的RSA key有效期为365天并且别名为server,这些数据都存储到ser.
记录一次安卓双向认证
weixin_30824277的博客
12-21 228
刚开始使用 openssl 生成证书给客户端用时,某些版本的手机提示 verify chain faild, 找不到原因、随放弃 后来发现除了openssl还有keytool 于是参考了以下三篇文章 生成交换证书 转keystore到pfx 通过pkfcer导出key,pem文件 1.生成客户端keystore keytool -genkeypair -alias client -keyalg ...
java ssl keystore_javaSSL认证keystore使用
weixin_34580441的博客
02-13 798
好久没用过SSL认证了,东西久不用,就有点生疏。博客就是有这个好处,可以做备忘录。java中是通过SSL认证,使用的是SSLSocket,通过SSLSocketFactory可以获得SSLSocket实例对象。通常SSLSocketFactory需要一个SSLContext环境对象来构建,构建一个SSLContext 环境:SSLContext sslc=SSLContext.getInstanc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值