java SSL

加密方式

加密方式

优缺点

对称加密

加密效率高,密钥在网络中传输不安全

非对称加密

加密效率低,安全性高,公钥可以在网络中传输

数字签名

防止抵赖,能够检查签名之后内容是否有更改。通过单向散列算法对内容进行求值,相当于对内容进行提取了指纹

CA

证书颁发机构(相当于所有人都信任的一个中间机构),CA机构也有自已的公钥与私钥。client通过CA机构的公钥与证数中的数字签名来验证证书的合法性。

SSL*(Secure Socket Layer)

SSL在网络层所处的位置:

SSL位置

SSL提供的功能:

SSL提供的功能

java keytool

  Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥(key)和证书(certificates)存在一个称为keystore的文件中。 在keystore里,包含两种数据: (1)密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥 (2)可信任的证书实体(trusted certificate entries)——只包含公钥 keytool中常用的命令

-genkey      在用户主目录中创建一个默认文件".keystore",(在没有指定生成位置的情况下,keystore会存在用户系统默认目录,如:对于window xp系统,会生成在系统的C:\Documents and Settings\UserName\文件名为“.keystore”)

-alias       产生别名,每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写

-keystore    指定密钥库的名称(产生的各类信息将不在.keystore文件中)


-keyalg      指定密钥的算法 (如 RSA  DSA(如果不指定默认采用DSA))


-validity    指定创建的证书有效期多少天


-keysize     指定密钥长度


-storepass   指定密钥库的密码(获取keystore信息所需的密码)


-keypass     指定别名条目的密码

-dname       指定证书拥有者信息

        例如:  "CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码"


-list        显示密钥库中的证书信息     


-v           显示密钥库中的证书详细信息


-export      将别名指定的证书导出到文件 

keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码

-file        参数指定导出到文件的文件名


-delete      删除密钥库中某条目 

keytool -delete -alias 指定需删除的别名  -keystore 指定keystore  -storepass 密码   

-printcert   查看导出的证书信息

keytool -printcert -file yushan.crt        

-keypasswd   修改密钥库中指定条目口令   

keytool -keypasswd -alias 需修改的别名 -keypass 旧密码 -new  新密码  -storepass keystore密码  -keystore

-import      将已签名数字证书导入密钥库 

keytool -import -alias 指定导入条目的别名 -keystore 指定keystore -file 需导入的证书

示例1:生成keyStore:

keytool -genkey -v -alias xxx.com -keyalg RSA -keystore D:\STS\live\ssl\src\main\resources\zhiminchen -storepass zhiminchen -keypass zhiminchen -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,C=cn"  

示例1:导出证书:

keytool -export -alias xxx.com -keystore D:\S
TS\live\ssl\src\main\resources\zhiminchen -file D:\STS\live\ssl\src\main\resourc
es\zhiminchen.cer -storepass zhiminchen

示例3:导入证书:

keytool -import -trustcacerts -alias xxx.com
-file D:\STS\live\ssl\src\main\resources\zhiminchen.cer -keystore D:\STS\live\ss
l\src\main\resources\client
java实现SSL通信
  • 通过上面的keytool工具,生成服务端证书。服务端的代码如下:
import java.io.BufferedReader;
import java.io.FileInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.net.ServerSocket;
import java.net.Socket;
import java.security.KeyStore;

import javax.net.ServerSocketFactory;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLServerSocket;

public class SSLServer extends Thread {
    private Socket socket;

    public SSLServer(Socket socket) {
        this.socket = socket;
    }

    public void run() {
        try {
            BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));
            PrintWriter writer = new PrintWriter(socket.getOutputStream());
            String data = reader.readLine();
            System.out.println(data);
            writer.println(data);
            writer.close();
            socket.close();
        } catch (IOException e) {

        }
    }

    private static String SERVER_KEY_STORE = "D:/STS/live/ssl/src/main/resources/zhiminchen";
    private static String SERVER_KEY_STORE_PASSWORD = "zhiminchen";

    public static void main(String[] args) throws Exception {
        //设置信认的keystore仓库
        System.setProperty("javax.net.ssl.trustStore", SERVER_KEY_STORE);
        //ssl的上下文
        SSLContext context = SSLContext.getInstance("TLS");
        KeyStore ks = KeyStore.getInstance("jceks");
        //通过KeyStore导入服务端的keystore文件。
        ks.load(new FileInputStream(SERVER_KEY_STORE), null);
        //这里的SunX509是keystore的文件格式
        KeyManagerFactory kf = KeyManagerFactory.getInstance("SunX509");
        //通过keytool生成是会指定keystore的密码
        kf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());

        context.init(kf.getKeyManagers(), null, null);

        ServerSocketFactory factory = context.getServerSocketFactory();
        ServerSocket _socket = factory.createServerSocket(8443);
        //客服端不需要验证服务端,如果需要验证的话,服务端需要有导入客户端的证书文件
        ((SSLServerSocket) _socket).setNeedClientAuth(false);

        while (true) {
            new SSLServer(_socket.accept()).start();
        }
    }
}
  • 通过keytool生成客户端的keystore,然后将服务端的证书导入到客户端的keystore里。客户端的代码如下:
import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.net.Socket;

import javax.net.SocketFactory;
import javax.net.ssl.SSLSocketFactory;

public class SSLClient {

    private static String CLIENT_KEY_STORE = "D:/STS/live/ssl/src/main/resources/client";

    public static void main(String[] args) throws Exception {
        // 客户端的keystore文件地址
        System.setProperty("javax.net.ssl.trustStore", CLIENT_KEY_STORE);
        // 输出日志文件,可以看出握手的过程
        System.setProperty("javax.net.debug", "ssl,handshake");

        SocketFactory sf = SSLSocketFactory.getDefault();
        Socket s = sf.createSocket("localhost", 8443);

        PrintWriter writer = new PrintWriter(s.getOutputStream());
        BufferedReader reader = new BufferedReader(new InputStreamReader(s.getInputStream()));
        writer.println("hello");
        writer.flush();
        System.out.println(reader.readLine());
        s.close();
    }

}
其它问题
  • openssl生成的pem如何转成java用的cer文件:
1) openssl x509 -outform der -in certificate.pem -out certificate.der
2)keytool -import -alias your-alias -keystore cacerts -file certificate.der

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Spring Import 三种用法与源码解读

      最近在看Spring Cloud相关的源码,每次引入一个新的starter,发现都会加一些enable的注解,比如:@EnableDiscoveryClie...

    良辰美景TT
  • Spring集成TestNG测试MVC Controller

      在项目中需要写单元测试,如何保证写的单元测试的质量是比较高的。有以下几个原则。

    良辰美景TT
  • Ribbon与Spring cloud整合源码分析

    Ribbon是一种客户端的负载均衡器。提供了多种负载均衡的算法,支持多种协议(HTTP,TCP,UDP),并提供了故障容错的能力。官方网址为:https://g...

    良辰美景TT
  • Spring之AOP

    之前在另外一篇博文里介绍过AOP的概念, 这边不在赘述, 可以参考 AOP与动态代理 本文主要介绍Spring中AOP的应用. 切入点: 具体实现类的方法 ...

    用户1216491
  • 镁客网每周硬科技领域投融资汇总(9.24-9.29)

    镁客网
  • 什么是SNP遗传力?

    heritability,翻译为遗传力, 用来描述表型变异中遗传变异的比例。众所周知,表型(P)由基因型(G)和环境因素(E)共同控制, 即

    生信修炼手册
  • 国家出台新政策助力“文化+科技”企业

    我们看到的从很远星系来的光是在几百万年之前发出的,在我们看到的最远的物体的情况下,光是在80亿年前发出的。这样当我们看宇宙时,我们是在看它的过去。

    用户2158343
  • 国家出台新政策助力“文化+科技”企业

    党的十九大报告中提出,“创新生产经营机制,完善文化经济政策,培育新型文化形态。”对于正在建设全国文化中心和科技创新的中国而言,发展文化与科技融合产业,是文化产业...

    用户1677530
  • startactivityforresult

    跳转的页面设置返回结果的code就行  而且返回的地方不需要设置明确的那个intent,

    wust小吴
  • Java解析XML文件的方式

    在项目里,我们往往会把一些配置信息放到xml文件里,或者各部门间会通过xml文件来交换业务数据,所以有时候我们会遇到“解析xml文件”的需求。一般来讲,...

    用户1153489

扫码关注云+社区

领取腾讯云代金券

玩转腾讯云 有奖征文活动