SSL双向验证keytool实现自签名证书

作者：强悍的梅子 | 来源：互联网 | 2023-07-16 19:57

一、服务端1.生成密钥库---kserver.keystore是给服务端用的，其中保存着自己的私钥keytool-genkey-aliasserverkey-ke

一、服务端

1. 生成密钥库 --- kserver.keystore 是给服务端用的&＃xff0c;其中保存着自己的私钥

keytool -genkey -alias serverkey -keystore ./kserver.keystore -dname CN&＃61;test-server,OU&＃61;CTF,O&＃61;CTF1,L&＃61;SHH,ST&＃61;SHH,C&＃61;CN -validity 36500 -keysize 1024 -keyalg RSA -storepass 123456 -v

2. 导出密钥证书kserver.cer --- 根据私钥&＃xff0c;导出服务端证书

keytool -export -alias serverkey -keystore ./kserver.keystore -file ./kserver.cer -storepass 123456

3. 生成服务端信任密钥库 &＃xff08;可以与密钥库使用同一个&＃xff09;

keytool -genkey -alias servertrustkey -keystore ./kservertrust.keystore -dname CN&＃61;test-server-trust,OU&＃61;CTF,O&＃61;CTF1,L&＃61;SHH,ST&＃61;SHH,C&＃61;CN -validity 36500 -keysize 1024 -keyalg RSA -storepass 123456trust -v

4. 将证书导入客户端信任库(客户端信任库在后续创建)

keytool -import -alias serverkey -file kserver.cer -keystore kclienttrust.keystore

5. 查看证书内容

keytool -list -v -keystore kserver.keystore -storepass 123456

keytool -list -v -keystore kservertrust.keystore -storepass 123456trust

二、客户端

1. 生成密钥库 --- kclient.keystore 是给服务端用的&＃xff0c;其中保存着自己的私钥

keytool -genkey -alias clientkey -keystore ./kclient.keystore -dname CN&＃61;test-client,OU&＃61;CTF,O&＃61;CTF1,L&＃61;SHH,ST&＃61;SHH,C&＃61;CN -validity 36500 -keysize 1024 -keyalg RSA -storepass 123456 -v

2. 导出密钥证书 kclient.cer --- 根据私钥&＃xff0c;导出服务端证书

keytool -export -alias clientkey -keystore ./kclient.keystore -file ./kclient.cer -storepass 123456

3. 生成客户端信任密钥库

keytool -genkey -alias clienttrustkey -keystore ./kclienttrust.keystore -dname CN&＃61;test-client-trust,OU&＃61;CTF,O&＃61;CTF1,L&＃61;SHH,ST&＃61;SHH,C&＃61;CN -validity 36500 -keysize 1024 -keyalg RSA -storepass 123456trust -v

此时得到如下6个文件&＃xff1a;

4. 将证书导入服务端信任库

keytool -import -alias clientkey -file kclient.cer -keystore kservertrust.keystore

5. 查看证书内容

keytool -list -v -keystore kclient.keystore -storepass 123456keytool -list -v -keystore kclienttrust.keystore -storepass 123456trust

注&＃xff1a;后续代码中会用到&＃xff1a;

服务端(tomcat/weblogic)&＃xff1a;kserver.keystore、kservertrust.keystore

客户端(程序)&＃xff1a;kclient.keystore、kclienttrust.keystore

三、服务器配置

1. Tomcat 服务器配置

Tomcat安装目录/conf/server.xml 中添加&＃xff0c;其中clientAuth&＃61;true代表开启双向验证

2. Weblogic服务器配置

最后激活重新部署。

四、自签名证书

自签名证书&＃xff1a;对于每一个要链接的服务器&＃xff0c;都要保存一个证书的验证副本&＃xff0c;而且一旦服务器更换证书&＃xff0c;所有客户端就需要重新部署这些副本。要解决这一问题可以使用openssl&＃xff0c;或者使用第三方信任机构颁发的证书。

五、HttpsUtil工具类 - 客户端

/*** 使用httpclient4.x.x实现https双向验证*/ public class Https4client {public static void main(String[] args) throws Exception {HttpClient httpclient &＃61; getHttpClient();HttpEntity entity&＃61;null;//1.get测试 // HttpGet get &＃61; new HttpGet("https://自己服务器IP:端口/test/doget"); // HttpResponse rsp &＃61; httpclient.execute(get);//2.post测试HttpPost post &＃61; new HttpPost("https://自己服务器IP:端口/test/dopost");StringEntity stringEntity &＃61; new StringEntity("test post method!", Charset.forName("UTF-8"));post.setEntity(stringEntity);HttpResponse rsp &＃61; httpclient.execute(post);entity &＃61; rsp.getEntity();//用EntityUtils.toString()这个静态方法将HttpEntity转换成字符串,防止服务器返回的数据带有中文,所以在转换的时候将字符集指定成utf-8就可以了String result&＃61; EntityUtils.toString(entity, "UTF-8");System.out.println("-------------------------result:"&＃43;result&＃43;"-------------");if(rsp.getStatusLine().getStatusCode()&＃61;&＃61;200){System.out.println(rsp.getStatusLine().getStatusCode()&＃43;"-----------success------------------");}else{System.out.println(rsp.getStatusLine().getStatusCode()&＃43;"------------------fail-----------");}}public static HttpClient getHttpClient() throws Exception{//设置http参数HttpParams params &＃61; new BasicHttpParams();HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);HttpProtocolParams.setContentCharset(params, "UTF-8");HttpProtocolParams.setUseExpectContinue(params, true);HttpConnectionParams.setConnectionTimeout(params, 5000);//连接超时HttpConnectionParams.setSoTimeout(params, 5000);//请求超时SchemeRegistry schReg &＃61; new SchemeRegistry();schReg.register(new Scheme("http", 80, PlainSocketFactory.getSocketFactory()));SSLSocketFactory sf &＃61; getBidirectionalSSL();schReg.register(new Scheme("https", 443, sf));PoolingClientConnectionManager pccm &＃61; new PoolingClientConnectionManager(schReg);pccm.setMaxTotal(100); // 客户端总并行链接最大数pccm.setDefaultMaxPerRoute(20); // 发送到指定主机的最大连接数DefaultHttpClient httpclient &＃61; new DefaultHttpClient(pccm, params);// //设置代理 DNS // HttpHost proxy &＃61; new HttpHost("10.112.24.30", 8019); // httpclient.getParams().setParameter(ConnRoutePNames.DEFAULT_PROXY, proxy);return httpclient;}/*** 双向ssl 设置客户端证书* &＃64;return*/public static SSLSocketFactory getBidirectionalSSL() throws Exception {//客户端证书库&＃xff0c;上面生成的kclient.keystoreFile certFile &＃61; new File(GetConfigUtil.getProjectConfig("ssl.client.keystore"));KeyStore ks &＃61; null;try {ks &＃61; KeyStore.getInstance("JKS");} catch (KeyStoreException e) {throw new Exception(e);}//密钥库密码 123456String password &＃61; "";try {password &＃61; GetConfigUtil.getProjectConfig("client.store.file.password");ks.load(new FileInputStream(certFile), password.toCharArray());} catch (NoSuchAlgorithmException e) {throw new Exception(e);} catch (CertificateException e) {throw new Exception(e);} catch (FileNotFoundException e) {throw new Exception(e);} catch (IOException e) {throw new Exception(e);}KeyManagerFactory kmf &＃61; null;try {kmf &＃61; KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());} catch (NoSuchAlgorithmException e) {throw new Exception(e);}try {kmf.init(ks, password.toCharArray());} catch (UnrecoverableKeyException e) {throw new Exception(e);} catch (KeyStoreException e) {throw new Exception(e);} catch (NoSuchAlgorithmException e) {throw new Exception(e);}SSLContext sslContext &＃61; null;try {sslContext &＃61; SSLContext.getInstance("TLS");} catch (NoSuchAlgorithmException e) {throw new Exception(e);}try {sslContext.init(kmf.getKeyManagers(), getTrustManager(), null);} catch (KeyManagementException e) {throw new Exception(e);} catch (Exception e) {throw new Exception(e);}SSLSocketFactory factory &＃61; new SSLSocketFactory(sslContext,SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);return factory;}/*** 双向SSL 认证服务器的证书* &＃64;return* &＃64;throws Exception*/public static TrustManager[] getTrustManager() throws Exception{TrustManager[] trustManager&＃61;null;String password &＃61; "";//上面生成的kclienttrust.keystoreString publicKey &＃61; GetConfigUtil.getProjectConfig("ssl.clienttrust.keystore");if(null &＃61;&＃61;publicKey ||"".equals(publicKey)){throw new RuntimeException("信任库证书未配置");}else{//第三方机构服务器的公钥证书File publicFile &＃61; new File(publicKey);KeyStore pks &＃61; KeyStore.getInstance("JKS");password &＃61; GetConfigUtil.getProjectConfig("client.trust.file.password");pks.load(new FileInputStream(publicFile), password.toCharArray());TrustManagerFactory tmf &＃61; TrustManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());tmf.init(pks);trustManager &＃61; tmf.getTrustManagers();}return trustManager;}}

GetConfigUtil我就不贴了吧&＃xff0c;还是要自己动动脑子的&＃xff0c;不能彻底无脑CV流~~

算了我还是分享出来吧

项目地址&＃xff1a;https://gitee.com/defense-of-the-anciant2/market-purchase

推荐阅读

string
Cookie学习小结

Cookie学习小结 ... [详细]

蜡笔小新 2024-11-14 16:26:25
string
Go Echo 框架入门指南【1】

本文介绍了 Go 语言中的高性能、可扩展、轻量级 Web 框架 Echo。Echo 框架简单易用，仅需几行代码即可启动一个高性能 HTTP 服务。 ... [详细]

蜡笔小新 2024-11-14 18:30:58
list
一个Tomcat配置多个端口

一、Tomcat安装后本身提供了一个server，端口配置默认是8080，对应目录为：..\Tomcat8.0\webapps二、Tomcat8.0配置多个端口，其实也就是给T ... [详细]

蜡笔小新 2024-11-14 11:23:53
list
Spring Data JdbcTemplate 入门指南

本文将介绍如何使用 Spring JdbcTemplate 进行数据库操作，包括查询和插入数据。我们将通过一个学生表的示例来演示具体步骤。 ... [详细]

蜡笔小新 2024-11-14 10:33:29
string
深入探讨ASP.NET 2.0中的Callback机制及其应用

本文详细解析了ASP.NET 2.0中的Callback机制，不仅介绍了基本的使用方法，还深入探讨了其背后的实现原理。通过对比Atlas框架，帮助读者更好地理解和应用这一机制。 ... [详细]

蜡笔小新 2024-11-14 10:03:15
io
为什么多数程序员难以成为架构师？

探讨80%的程序员为何难以晋升为架构师，涉及技术深度、经验积累和综合能力等方面。本文将详细解析Tomcat的配置和服务组件，帮助读者理解其内部机制。 ... [详细]

蜡笔小新 2024-11-14 03:39:46
list
用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS

HTTP协议是不加密传输数据的，也就是用户跟你的网站之间传递数据有可能在途中被截获，破解传递的真实内容，所以使用不加密的HTTP的网站是不 ... [详细]

蜡笔小新 2024-11-13 14:02:50
io
Spring – Bean Life Cycle

Spring – Bean Life Cycle ... [详细]

蜡笔小新 2024-11-13 13:24:40
io
解决Only fullscreen opaque activities can request orientation错误的方法

本文介绍了在使用PictureSelectorLight第三方框架时遇到的Only fullscreen opaque activities can request orientation错误，并提供了一种有效的解决方案。 ... [详细]

蜡笔小新 2024-11-13 09:46:25
io
网站访问全流程解析

本文详细介绍了从用户在浏览器中输入一个域名（如www.yy.com）到页面完全展示的整个过程，包括DNS解析、TCP连接、请求响应等多个步骤。 ... [详细]

蜡笔小新 2024-11-12 18:13:16
io
PHP微信支付退款功能实现及订单创建类代码（附带调用示例）

【实例简介】本文详细介绍了如何在PHP中实现微信支付的退款功能，并提供了订单创建类的完整代码及调用示例。在配置过程中，需确保正确设置相关参数，特别是证书路径应根据项目实际情况进行调整。为了保证系统的安全性，存放证书的目录需要设置为可读权限。值得注意的是，普通支付操作无需证书，但在执行退款操作时必须提供证书。此外，本文还对常见的错误处理和调试技巧进行了说明，帮助开发者快速定位和解决问题。 ... [详细]

蜡笔小新 2024-11-11 13:17:39
io
Unity与MySQL连接过程中出现的新挑战及解决方案探析

Unity与MySQL连接过程中出现的新挑战及解决方案探析 ... [详细]

蜡笔小新 2024-11-11 09:55:19
io
在Windows环境中使用SecureCRT高效连接Linux服务器

SecureCRT是一款功能强大的终端仿真软件，支持SSH1和SSH2协议，适用于在Windows环境下高效连接和管理Linux服务器。该工具不仅提供了稳定的连接性能，还具备丰富的配置选项，能够满足不同用户的需求。通过SecureCRT，用户可以轻松实现对远程Linux系统的安全访问和操作。 ... [详细]

蜡笔小新 2024-11-10 14:46:15
io
php更新数据库字段的函数是,php更新数据库字段的函数是

php更新数据库字段的函数是,php更新数据库字段的函数是 ... [详细]

蜡笔小新 2024-11-12 11:37:31
list
大类|电阻器_使用Requests、Etree、BeautifulSoup、Pandas和Path库进行数据抓取与处理 | 将指定区域内容保存为HTML和Excel格式

大类|电阻器_使用Requests、Etree、BeautifulSoup、Pandas和Path库进行数据抓取与处理 | 将指定区域内容保存为HTML和Excel格式 ... [详细]

蜡笔小新 2024-11-11 19:05:59

强悍的梅子

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章