SSL双向认证java实现(转)

本文经过模拟场景，介绍SSL双向认证的java实现 

 

默认的状况下，我认为读者已经对SSL原理有必定的了解，因此文章中对SSL的原理，不作详细的介绍。 

若是有这个须要，那么经过GOOGLE，能够搜索到不少这样的文章。 

 

模拟场景： 

Server端和Client端通讯，须要进行受权和身份的验证，即Client只能接受Server的消息，Server只能接受Client的消息。 

 

实现技术： 

JSSE（Java Security Socket Extension） 

是Sun为了解决在Internet上的安全通信而推出的解决方案。它实现了SSL和TSL（传输层安全）协议。在JSSE中包含了数据加密，服务器验证，消息完整性和客户端验证等技术。经过使用JSSE，开发人员能够在客户机和服务器之间经过TCP/IP协议安全地传输数据 

 

为了实现消息认证。 

Server须要： 

1）KeyStore: 其中保存服务端的私钥 

2）Trust KeyStore:其中保存客户端的受权证书 

一样，Client须要： 

1）KeyStore：其中保存客户端的私钥 

2）Trust KeyStore：其中保存服务端的受权证书 

 

咱们可使用Java自带的keytool命令，去生成这样信息文件 

1）生成服务端私钥，而且导入到服务端KeyStore文件中 

keytool -genkey -alias serverkey -keystore kserver.keystore 

过程当中，分别须要填写，根据需求本身设置就行 

keystore密码：123456 

名字和姓氏：stone 

组织单位名称：eulic 

组织名称：eulic 

城市或区域名称：HZ 

州或省份名称：ZJ 

国家代码：CN 

serverkey私钥的密码，不填写和keystore的密码一致：123456 

就能够生成kserver.keystore文件 

server.keystore是给服务端用的，其中保存着本身的私钥 

 

2）根据私钥，导出服务端证书 

keytool -export -alias serverkey -keystore kserver.keystore -file server.crt 

server.crt就是服务端的证书 

 

3）将服务端证书，导入到客户端的Trust KeyStore中 

keytool -import -alias serverkey -file server.crt -keystore tclient.keystore 

tclient.keystore是给客户端用的，其中保存着受信任的证书 

 

采用一样的方法，生成客户端的私钥，客户端的证书，而且导入到服务端的Trust KeyStore中 

1）keytool -genkey -alias clientkey -keystore kclient.keystore 

2）keytool -export -alias clientkey -keystore kclient.keystore -file client.crt 

3）keytool -import -alias clientkey -file client.crt -keystore tserver.keystore 

 

如此一来，生成的文件分红两组 

服务端保存：kserver.keystore tserver.keystore 

客户端保存：kclient.keystore  tclient.kyestore 

 

接下来，就采用JSSE，分别生成SSLServerSocket,SSLSocket 

 

服务端，生成SSLServerSocket代码 

SSLContext ctx = SSLContext.getInstance("SSL"); 

 

KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509"); 

TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509"); 

 

KeyStore ks = KeyStore.getInstance("JKS"); 

KeyStore tks = KeyStore.getInstance("JKS"); 

 

ks.load(new FileInputStream("data/kserver.keystore"), SERVER_KEY_STORE_PASSWORD.toCharArray()); 

tks.load(new FileInputStream("data/tserver.keystore"), SERVER_TRUST_KEY_STORE_PASSWORD.toCharArray()); 

 

kmf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray()); 

tmf.init(tks); 

 

ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); 

 

return (SSLServerSocket) ctx.getServerSocketFactory().createServerSocket(DEFAULT_PORT); 

 

客户端，生成SSLSocket的代码，大同小异 

SSLContext ctx = SSLContext.getInstance("SSL"); 

 

KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509"); 

TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509"); 

 

KeyStore ks = KeyStore.getInstance("JKS"); 

KeyStore tks = KeyStore.getInstance("JKS"); 

 

ks.load(new FileInputStream("data/kclient.keystore"), CLIENT_KEY_STORE_PASSWORD.toCharArray()); 

tks.load(new FileInputStream("data/tclient.keystore"), CLIENT_TRUST_KEY_STORE_PASSWORD.toCharArray()); 

 

kmf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray()); 

tmf.init(tks); 

 

ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); 

 

return (SSLSocket) ctx.getSocketFactory().createSocket(DEFAULT_HOST, DEFAULT_PORT); 

 

如此，就完成了服务端和客户端之间的基于身份认证的交互。 

 

client采用kclient.keystore中的clientkey私钥进行数据加密，发送给server 

server采用tserver.keystore中的client.crt证书（包含了clientkey的公钥）对数据解密，若是解密成功，证实消息来自client，进行逻辑处理 

 

server采用kserver.keystore中的serverkey私钥进行数据叫米，发送给client 

client采用tclient.keystore中的server.crt证书（包含了serverkey的公钥）对数据解密，若是解密成功，证实消息来自server，进行逻辑处理 

 

若是过程当中，解密失败，那么证实消息来源错误。不进行逻辑处理。这样就完成了双向的身份认证。