ssl/https/wss总结
概念性的东西就不说了,自己去查一下,这里只实践
1. OpenSSL与Java KeyTool的证书
1.1 OpenSSL生成证书的方式总结:
openssl基本原理 + 生成证书 + 使用实例 -这篇很精华,就是格式太差,谁让CSDN没有markdown呢...
如何使用OpenSSL工具生成根证书与应用证书 - 这篇注解写的比较详细
使用OpenSSL API 建立SSL安全通信的一般流程
OpenSSL客户端服务器实例下载 - 使用SSL通信的C++客户端与服务器聊天程序,需要配置OpenSSL的Lib库
1.2 Java KeyTool的使用
JDK 中的证书生成和管理工具 keytool
Java HTTPS客户端如何处理证书 - 这篇文章非常好,关于Java端ssl的使用,基本上看这一篇就够了
1.3 Openssl与Java keytool生成证书的转换
2.Java客户端发送https请求
可参考我之前的一篇总结性文章:
Nginx配置https Java代码单向验证 -包含客户端验证服务器证书与不验证服务器证书两种连接方式
3. Java发送wss(Secure Websocket)请求
3.1 Java-Websocket.jar
java WebSocket的实现以及Spring WebSocket -这篇文章讲了Java各种对WebSocket的实现
然而,上面文章里的实现并不怎么好用,我项目中用的是Java-Websocket的实现:
github地址
Maven仓库地址
3.2 java的websocket客户端连接C++的SSL服务器(单向验证)
Java-Websocket的代码中有对SSL的实现示例,是一个客户端与服务器双向验证的例子,但是用的是同个keystore与truststore
参考Java HTTPS客户端如何处理证书这篇文章中的单向验证部分
server侧只需要自己的keystore文件,不需要truststore文件
client侧不需要自己的keystore文件,只需要truststore文件(其中包含server的公钥)
此外server侧需要在创建SSLServerSocket之后设定不需要客户端证书:setNeedClientAuth(false)
C++客户端与服务器代码上面的链接中都有,这里关键的问题是两点:
- Java使用的是jks格式的证书,C++使用的是pem格式的,双方是否能连通?(理论上没问题,经验证也没问题)
- Java使用的keystore与truststore与C++的证书,私钥有什么对应关系?
- keystore中一般保存的是我们的私钥,用来加解密或者为别人做签名,通过它可以导出证书
- truststore保存的是可信任的证书
我们用OpenSSL来生成证书与私钥,PEM格式证书转换为jks文件:
转换为pkcs12格式:
~/tmp/cert# openssl pkcs12 -export -in public.crt -inkey private.pem -out server.p12 -name server -passin pass:${passwd} -passout pass:${passwd}
~/tmp/cert# ll
total 16
-rw-r--r-- 1 root root 664 Jun 14 20:43 cert.csr
-rw-r--r-- 1 root root 963 Jun 14 20:27 private.pem
-rw-r--r-- 1 root root 871 Jun 14 20:44 public.crt
-rw-r--r-- 1 root root 1682 Jun 14 20:55 server.p12
导入到jks中:
~/tmp/cert# keytool -importkeystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass ${passwd} -alias server -deststorepass ${passwd} -destkeypass ${passwd} -destkeystore ServerCert.jks
~/tmp/cert# ll
total 20
-rw-r--r-- 1 root root 664 Jun 14 20:43 cert.csr
-rw-r--r-- 1 root root 963 Jun 14 20:27 private.pem
-rw-r--r-- 1 root root 871 Jun 14 20:44 public.crt
-rw-r--r-- 1 root root 1372 Jun 14 20:57 ServerCert.jks
-rw-r--r-- 1 root root 1682 Jun 14 20:55 server.p12
Java-Websocket客户端代码:
public static void SSLTestSingle1()throws Exception {
WebSocketChatClient chatclient = new WebSocketChatClient( new URI( "wss://localhost:8443" ) );
// load up the key store
String STORETYPE = "JKS";
String KEYSTORE = "foxclienttrust.keystore";
String STOREPASSWORD = "foxclienttrustks";
KeyStore ks = KeyStore.getInstance( STORETYPE );
File kf = new File( KEYSTORE );
ks.load( new FileInputStream( kf ), STOREPASSWORD.toCharArray() );
// KeyManagerFactory kmf = KeyManagerFactory.getInstance( "SunX509" );
// kmf.init( ks, KEYPASSWORD.toCharArray() );
TrustManagerFactory tmf = TrustManagerFactory.getInstance( "SunX509" );
tmf.init( ks );
SSLContext sslContext = null;
sslContext = SSLContext.getInstance( "TLS" );
sslContext.init( null, tmf.getTrustManagers(), null );
// sslContext.init( null, null, null ); // will use java's default key and trust store which is sufficient unless you deal with self-signed certificates
SSLSocketFactory factory = sslContext.getSocketFactory();// (SSLSocketFactory) SSLSocketFactory.getDefault();
chatclient.setSocket( factory.createSocket() );
chatclient.connectBlocking();
BufferedReader reader = new BufferedReader( new InputStreamReader( System.in ) );
while ( true ) {
String line = reader.readLine();
if( line.equals( "close" ) ) {
chatclient.close();
} else {
chatclient.send( line );
}
}
}
