Java实现 SSL双向认证

SSL 协议的握手协议分为单向认证和双向认证,其中双向认证具有多种实现方式,下面介绍关于Java如何实现 SSL双向认证。

模拟场景:
Server端和Client端通信,需要进行授权和身份的验证,即Client只能接受Server的消息,Server只能接受Client的消息。

实现技术:
JSSE(Java Security Socket Extension)
是Sun为了解决在Internet上的安全通讯而推出的解决方案。它实现了SSL和TSL(传输层安全)协议。在JSSE中包含了数据加密,服务器验证,消息完整性和客户端验证等技术。通过使用JSSE,开发人员可以在客户机和服务器之间通过TCP/IP协议安全地传输数据。


为了实现消息认证。Java实现 SSL双向认证_第1张图片

Server需要:
1)KeyStore: 其中保存服务端的私钥
2)Trust KeyStore:其中保存客户端的授权证书
同样,Client需要:
1)KeyStore:其中保存客户端的私钥
2)Trust KeyStore:其中保存服务端的授权证书


在这里我还是推荐使用Java自带的keytool命令,去生成这样信息文件。当然目前非常流行的开源的生成SSL证书的还有OpenSSL。OpenSSL用C语言编写,跨系统。但是我们可能在以后的过程中用java程序生成证书的方便性考虑,还是用JDK自带的keytool。
1)生成服务端私钥,并且导入到服务端KeyStore文件中
keytool -genkey -alias serverkey -keystore kserver.keystore
过程中,分别需要填写,根据需求自己设置就行
keystore密码:123456
名字和姓氏:jin
组织单位名称:none
组织名称:none
城市或区域名称:BJ
州或省份名称:BJ
国家代码:CN
serverkey私钥的密码,不填写和keystore的密码一致。这里千万注意,直接回车就行了,不用修改密码。否则在后面的程序中以及无法直接应用这个私钥,会报错。



就可以生成kserver.keystore文件
server.keystore是给服务端用的,其中保存着自己的私钥

2)根据私钥,导出服务端证书
keytool -export -alias serverkey -keystore kserver.keystore -file server.crt
server.crt就是服务端的证书

3)将服务端证书,导入到客户端的Trust KeyStore中
keytool -import -alias serverkey -file server.crt -keystore tclient.keystore
tclient.keystore是给客户端用的,其中保存着受信任的证书

采用同样的方法,生成客户端的私钥,客户端的证书,并且导入到服务端的Trust KeyStore中
1)keytool -genkey -alias clientkey -keystore kclient.keystore
2)keytool -export -alias clientkey -keystore kclient.keystore -file client.crt
3)keytool -import -alias clientkey -file client.crt -keystore tserver.keystore

如此一来,生成的文件分成两组
服务端保存:kserver.keystore tserver.keystore
客户端保存:kclient.keystore tclient.kyestore



以下是通过Java Socket通信程序来验证我们生成的证书是否可用。

客户端:

客户端代码

  1. package examples.ssl;


  3. import java.io.BufferedInputStream;

  4. import java.io.BufferedOutputStream;

  5. import java.io.FileInputStream;

  6. import java.io.IOException;

  7. import java.io.InputStream;

  8. import java.io.OutputStream;

  9. import java.security.KeyStore;


  11. import javax.net.ssl.KeyManagerFactory;

  12. import javax.net.ssl.SSLContext;

  13. import javax.net.ssl.SSLSocket;

  14. import javax.net.ssl.TrustManagerFactory;


  16. /**

  17. * SSL Client

  18. *

  19. */

  20. public class SSLClient {


  22. private static final String DEFAULT_HOST = “127.0.0.1”;

  23. private static final int DEFAULT_PORT = 7777;


  25. private static final String CLIENT_KEY_STORE_PASSWORD = “123456”;

  26. private static final String CLIENT_TRUST_KEY_STORE_PASSWORD = “123456”;


  28. private SSLSocket sslSocket;


  30. /**

  31. * 启动客户端程序

  32. *

  33. * @param args

  34. */

  35. public static void main(String[] args) {

  36. SSLClient client = new SSLClient();

  37. init();

  38. process();

  39. }


  41. /**

  42. * 通过ssl socket与服务端进行连接,并且发送一个消息

  43. */

  44. public void process() {

  45. if (sslSocket == null) {

  46. out.println(“ERROR”);

  47. return;

  48. }

  49. try {

  50. InputStream input = sslSocket.getInputStream();

  51. OutputStream output = sslSocket.getOutputStream();


  53. BufferedInputStream bis = new BufferedInputStream(input);

  54. BufferedOutputStream bos = new BufferedOutputStream(output);


  56. write(“Client Message”.getBytes());

  57. flush();


  59. byte[] buffer = new byte[20];

  60. read(buffer);

  61. out.println(new String(buffer));


  63. close();

  64. } catch (IOException e) {

  65. out.println(e);

  66. }

  67. }


  69. /**

  70. *

    • *

    • ssl连接的重点:

    • *

    • 初始化SSLSocket

    • *

    • 导入客户端私钥KeyStore,导入客户端受信任的KeyStore(服务端的证书)

    • *

  71. */

  72. public void init() {

  73. try {

  74. SSLContext ctx = SSLContext.getInstance(“SSL”);


  76. KeyManagerFactory kmf = KeyManagerFactory.getInstance(“SunX509”);

  77. TrustManagerFactory tmf = TrustManagerFactory.getInstance(“SunX509”);


  79. KeyStore ks = KeyStore.getInstance(“JKS”);

  80. KeyStore tks = KeyStore.getInstance(“JKS”);


  82. load(new FileInputStream(“E://kclient.keystore”), CLIENT_KEY_STORE_PASSWORD.toCharArray());

  83. load(new FileInputStream(“E://tclient.keystore”), CLIENT_TRUST_KEY_STORE_PASSWORD.toCharArray());


  85. init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray());

  86. init(tks);


  88. init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);


  90. sslSocket = (SSLSocket) ctx.getSocketFactory().createSocket(DEFAULT_HOST, DEFAULT_PORT);

  91. } catch (Exception e) {

  92. out.println(e);

  93. }

  94. }


  96. }


服务器端:

Java代码

  1. package examples.ssl;


  3. import java.io.BufferedInputStream;

  4. import java.io.BufferedOutputStream;

  5. import java.io.FileInputStream;

  6. import java.io.InputStream;

  7. import java.io.OutputStream;

  8. import java.net.Socket;

  9. import java.security.KeyStore;


  11. import javax.net.ssl.KeyManagerFactory;

  12. import javax.net.ssl.SSLContext;

  13. import javax.net.ssl.SSLServerSocket;

  14. import javax.net.ssl.TrustManagerFactory;


  16. /***********************************************************************************************************************

  17. *

    • *

    • 1)生成服务端私钥

    • *

    • keytool -genkey -alias serverkey -keystore kserver.keystore

    • *

    • 2)根据私钥,到处服务端证书

    • *

    • keytool -exoport -alias serverkey -keystore kserver.keystore -file server.crt

    • *

    • 3)把证书加入到客户端受信任的keystore中

    • *

    • keytool -import -alias serverkey -file server.crt -keystore tclient.keystore

    • *

  18. **********************************************************************************************************************/


  20. /**

  21. * SSL Server

  22. *

  23. */

  24. public class SSLServer {


  26. private static final int DEFAULT_PORT = 7777;


  28. private static final String SERVER_KEY_STORE_PASSWORD = “123456”;

  29. private static final String SERVER_TRUST_KEY_STORE_PASSWORD = “123456”;


  31. private SSLServerSocket serverSocket;


  33. /**

  34. * 启动程序

  35. *

  36. * @param args

  37. */

  38. public static void main(String[] args) {

  39. SSLServer server = new SSLServer();

  40. init();

  41. start();

  42. }


  44. /**

  45. *

    • *

    • 听SSL Server Socket

    • *

    • 由于该程序不是演示Socket监听,所以简单采用单线程形式,并且仅仅接受客户端的消息,并且返回客户端指定消息

    • *

  46. */

  47. public void start() {

  48. if (serverSocket == null) {

  49. out.println(“ERROR”);

  50. return;

  51. }

  52. while (true) {

  53. try {

  54. Socket s = serverSocket.accept();

  55. InputStream input = s.getInputStream();

  56. OutputStream output = s.getOutputStream();


  58. BufferedInputStream bis = new BufferedInputStream(input);

  59. BufferedOutputStream bos = new BufferedOutputStream(output);


  61. byte[] buffer = new byte[20];

  62. read(buffer);

  63. out.println(new String(buffer));


  65. write(“Server Echo”.getBytes());

  66. flush();


  68. close();

  69. } catch (Exception e) {

  70. out.println(e);

  71. }

  72. }

  73. }


  75. /**

  76. *

    • *

    • ssl连接的重点:

    • *

    • 初始化SSLServerSocket

    • *

    • 导入服务端私钥KeyStore,导入服务端受信任的KeyStore(客户端的证书)

    • *

  77. */

  78. public void init() {

  79. try {

  80. SSLContext ctx = SSLContext.getInstance(“SSL”);


  82. KeyManagerFactory kmf = KeyManagerFactory.getInstance(“SunX509”);

  83. TrustManagerFactory tmf = TrustManagerFactory.getInstance(“SunX509”);


  85. KeyStore ks = KeyStore.getInstance(“JKS”);

  86. KeyStore tks = KeyStore.getInstance(“JKS”);


  88. load(new FileInputStream(“E://kserver.keystore”), SERVER_KEY_STORE_PASSWORD.toCharArray());

  89. load(new FileInputStream(“E://tserver.keystore”), SERVER_TRUST_KEY_STORE_PASSWORD.toCharArray());


  91. init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());

  92. init(tks);


  94. init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);


  96. serverSocket = (SSLServerSocket) ctx.getServerSocketFactory().createServerSocket(DEFAULT_PORT);

  97. setNeedClientAuth(true);

  98. } catch (Exception e) {

  99. printStackTrace();

  100. }

  101. }

  102. }