【HTTPS】Spring Boot客户端与服务端单向认证和双向认证实例

【引言】

在上篇博客中，了解了关于SSL的很多理论，本篇博客主要是总结下基于Spring Boot实现HTTPS方式请求下客户端与服务端进行单向认证与双向认证的实例搭建。

有了上一篇博客的认识，对于SSL的流程已经很清楚了。使用HTTPS，通常情况下，是客户端需要校验服务端，也就是一个单向认证的过程。同时，服务端也可以校验客户端，从而达到客户端与服务端双向认证的目的。

【证书生成】

在项目搭建前，我们先使用JDK下的KeyTool工具生成服务端证书和客户端证书，在后面的代码中需要用到。下面是生成证书步骤，在JDK安装目录下的JRE目录下的bin文件夹下执行命令即可：

• Server端证书生成步骤

1. 生成服务端sslServer.p12文件
   keytool -genkey -v -alias sslServer -keyalg RSA -storetype PKCS12 -keystore E:\learning-demo\sslServer.p12

2. 导出服务端公钥sslServer.cer 文件
   keytool -keystore E:\learning-demo\sslServer.p12 -export -alias sslServer -file E:\learning-demo\sslServer.cer

如上图，则表明服务端证书生成成功。在生成过程中，需要注意的一点是，第一步中“您的名字与姓氏是什么”应该填服务器的ip或对应系统的域名，这样在后面代码中校验证书就能直接通过，若填写的不一致，则需要在代码中默认允许校验自己通过。

按照以上方法，同样，生成客户端证书：

• Client端证书生成步骤（双向认证需要操作此步骤）

1. 生成客户端sslClient.p12文件
   keytool -genkey -v -alias sslClient -keyalg RSA -storetype PKCS12 -keystore E:\learning-demo\sslClient.p12

2. 导出客户端公钥sslClient.cer 文件
   keytool -keystore E:\learning-demo\sslClient.p12 -export -alias sslClient -file E:\learning-demo\sslClient.cer

• 将Client端和Server端的公钥文件（.cer文件）导入双方系统的jre运行环境的cacerts证书库（双向认证需要操作此步骤）

1. 将客户端公钥导入的服务端jdk信任库
   keytool -import -alias sslClient -file E:\learning-demo\sslClient.cer -keystore D:\jdk\jre\lib\security\cacerts –v

2. 将服务端公钥导入到客户端的jdk信任库
   keytool -import -alias sslServer -file E:\learning-demo\sslServer.cer -keystore D:\jdk\jre\lib\security\cacerts –v

3. 将客户端公钥导入到服务端Server.p12证书库
   keytool -import -alias sslClient -v -file E:\learning-demo\sslClient.cer -keystore D:\jdk\sslServer.p12

【实例搭建】

新建springboot-https项目，包含springboot-https-server（服务端）和springboot-https-client（客户端）两个模块。

• 单向认证

搭建好springboot-https-server模块后，在application.properties配置文件下，添加以下内容，则可在服务端开启SSL认证，证书放在resource目录下即可：

# 单向认证开启（客户端校验服务端证书即可）
server.port=7090
server.address=127.0.0.1
server.ssl.key-store=classpath:sslServer.p12
server.ssl.key-store-password=123456
server.ssl.key-alias=sslServer
server.ssl.keyStoreType=JKS

对外提供一个接口，测试是否开启成功：

@RestController
@RequestMapping("/server")
public class ServerController {
 
  @RequestMapping("/ssl")
  public String getUrlInfo() {
    return "************request https success************";
  }
 
}

我们在浏览器直接访问https://127.0.0.1:7090/server/ssl这一接口，浏览器会提示：

则表明单向认证开启成功。

• 双向认证

双向认证，首先需要在服务端中加以下配置，表示服务端需要校验客户端：

# 开启双向认证（客户端与服务端互相校验）
server.ssl.trust-store-password=123456
server.ssl.client-auth=need
server.ssl.trust-store-type=JKS
server.ssl.trust-store-provider=SUN

客户端测试代码：

  private final static String TEST_URL = "https://127.0.0.1:7090/server/ssl";
 
  @Test
  public void getHKVesselTrip() throws Exception {
    // 客户端证书类型
    KeyStore clientStore = KeyStore.getInstance("PKCS12");
    // 加载客户端证书，即自己的私钥
    clientStore
        .load(new FileInputStream("E:\\learning-demo\\sslClient.p12"),
            "123456".toCharArray());
    // 创建密钥管理工厂实例
    KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
    // 初始化客户端密钥库
    kmf.init(clientStore, "123456".toCharArray());
    KeyManager[] kms = kmf.getKeyManagers();
    // 创建信任库管理工厂实例
    TrustManagerFactory tmf = TrustManagerFactory
        .getInstance(TrustManagerFactory.getDefaultAlgorithm());
    // 信任库类型
    KeyStore trustStore = KeyStore.getInstance("JKS");
    // 加载信任库，即服务端公钥
    trustStore.load(new FileInputStream("D:\\jdk\\jre\\lib\\security\\cacerts"),
        "changeit".toCharArray());
    // 初始化信任库
    tmf.init(trustStore);
    TrustManager[] tms = tmf.getTrustManagers();
    // 建立TLS连接
    SSLContext sslContext = SSLContext.getInstance("TLS");
    // 初始化SSLContext
    sslContext.init(kms, tms, new SecureRandom());
    SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext,
        SSLConnectionSocketFactory.BROWSER_COMPATIBLE_HOSTNAME_VERIFIER);
    CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslsf).build();
    try {
      HttpGet httpget = new HttpGet(TEST_URL);
      System.out.println("executing request" + httpget.getRequestLine());
      CloseableHttpResponse response = httpclient.execute(httpget);
      try {
        HttpEntity entity = response.getEntity();
        if (entity != null) {
          System.out.println(EntityUtils.toString(entity));
        }
      } finally {
        response.close();
      }
    } finally {
      httpclient.close();
    }
  }

仔细读代码，会发现也就是上篇博客中核心类的内容，如何建立SSLContext连接，其中KeyStore和TrustStore如何创建，都有涉及。

项目实例代码已上传github，地址：https://github.com/huzhiting/springboot-https

【总结】

在进行双向认证的过程中，很容易出现校验不通过的情况，还是需要具体问题具体分析。

HTTPClient方式调用尝试很多次不能校验通过的情况下，可以换成HTTPURLConnection试试，毕竟HttpURLConnection是java的标准类。