【HTTPS】Spring Boot客户端与服务端单向认证和双向认证实例

【引言】

在上篇博客中,了解了关于SSL的很多理论,本篇博客主要是总结下基于Spring Boot实现HTTPS方式请求下客户端与服务端进行单向认证与双向认证的实例搭建。

有了上一篇博客的认识,对于SSL的流程已经很清楚了。使用HTTPS,通常情况下,是客户端需要校验服务端,也就是一个单向认证的过程。同时,服务端也可以校验客户端,从而达到客户端与服务端双向认证的目的。

【证书生成】

在项目搭建前,我们先使用JDK下的KeyTool工具生成服务端证书和客户端证书,在后面的代码中需要用到。下面是生成证书步骤,在JDK安装目录下的JRE目录下的bin文件夹下执行命令即可:

  • Server端证书生成步骤
  1. 生成服务端sslServer.p12文件
    keytool -genkey -v -alias sslServer -keyalg RSA -storetype PKCS12 -keystore E:\learning-demo\sslServer.p12

  2. 导出服务端公钥sslServer.cer 文件
    keytool -keystore E:\learning-demo\sslServer.p12 -export -alias sslServer -file E:\learning-demo\sslServer.cer

【HTTPS】Spring Boot客户端与服务端单向认证和双向认证实例_第1张图片
在这里插入图片描述
如上图,则表明服务端证书生成成功。在生成过程中,需要注意的一点是,第一步中“您的名字与姓氏是什么”应该填服务器的ip或对应系统的域名,这样在后面代码中校验证书就能直接通过,若填写的不一致,则需要在代码中默认允许校验自己通过。

按照以上方法,同样,生成客户端证书:

  • Client端证书生成步骤(双向认证需要操作此步骤)
  1. 生成客户端sslClient.p12文件
    keytool -genkey -v -alias sslClient -keyalg RSA -storetype PKCS12 -keystore E:\learning-demo\sslClient.p12

  2. 导出客户端公钥sslClient.cer 文件
    keytool -keystore E:\learning-demo\sslClient.p12 -export -alias sslClient -file E:\learning-demo\sslClient.cer

  • 将Client端和Server端的公钥文件(.cer文件)导入双方系统的jre运行环境的cacerts证书库(双向认证需要操作此步骤)
  1. 将客户端公钥导入的服务端jdk信任库
    keytool -import -alias sslClient -file E:\learning-demo\sslClient.cer -keystore D:\jdk\jre\lib\security\cacerts –v

  2. 将服务端公钥导入到客户端的jdk信任库
    keytool -import -alias sslServer -file E:\learning-demo\sslServer.cer -keystore D:\jdk\jre\lib\security\cacerts –v

  3. 将客户端公钥导入到服务端Server.p12证书库
    keytool -import -alias sslClient -v -file E:\learning-demo\sslClient.cer -keystore D:\jdk\sslServer.p12

【实例搭建】

新建springboot-https项目,包含springboot-https-server(服务端)和springboot-https-client(客户端)两个模块。

  • 单向认证

搭建好springboot-https-server模块后,在application.properties配置文件下,添加以下内容,则可在服务端开启SSL认证,证书放在resource目录下即可:

# 单向认证开启(客户端校验服务端证书即可)
server.port=7090
server.address=127.0.0.1
server.ssl.key-store=classpath:sslServer.p12
server.ssl.key-store-password=123456
server.ssl.key-alias=sslServer
server.ssl.keyStoreType=JKS

对外提供一个接口,测试是否开启成功:

@RestController
@RequestMapping("/server")
public class ServerController {
 
  @RequestMapping("/ssl")
  public String getUrlInfo() {
    return "************request https success************";
  }
 
}

我们在浏览器直接访问https://127.0.0.1:7090/server/ssl这一接口,浏览器会提示:
【HTTPS】Spring Boot客户端与服务端单向认证和双向认证实例_第2张图片
则表明单向认证开启成功。

  • 双向认证

双向认证,首先需要在服务端中加以下配置,表示服务端需要校验客户端:

# 开启双向认证(客户端与服务端互相校验)
server.ssl.trust-store-password=123456
server.ssl.client-auth=need
server.ssl.trust-store-type=JKS
server.ssl.trust-store-provider=SUN

客户端测试代码:

  private final static String TEST_URL = "https://127.0.0.1:7090/server/ssl";
 
  @Test
  public void getHKVesselTrip() throws Exception {
    // 客户端证书类型
    KeyStore clientStore = KeyStore.getInstance("PKCS12");
    // 加载客户端证书,即自己的私钥
    clientStore
        .load(new FileInputStream("E:\\learning-demo\\sslClient.p12"),
            "123456".toCharArray());
    // 创建密钥管理工厂实例
    KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
    // 初始化客户端密钥库
    kmf.init(clientStore, "123456".toCharArray());
    KeyManager[] kms = kmf.getKeyManagers();
    // 创建信任库管理工厂实例
    TrustManagerFactory tmf = TrustManagerFactory
        .getInstance(TrustManagerFactory.getDefaultAlgorithm());
    // 信任库类型
    KeyStore trustStore = KeyStore.getInstance("JKS");
    // 加载信任库,即服务端公钥
    trustStore.load(new FileInputStream("D:\\jdk\\jre\\lib\\security\\cacerts"),
        "changeit".toCharArray());
    // 初始化信任库
    tmf.init(trustStore);
    TrustManager[] tms = tmf.getTrustManagers();
    // 建立TLS连接
    SSLContext sslContext = SSLContext.getInstance("TLS");
    // 初始化SSLContext
    sslContext.init(kms, tms, new SecureRandom());
    SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext,
        SSLConnectionSocketFactory.BROWSER_COMPATIBLE_HOSTNAME_VERIFIER);
    CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslsf).build();
    try {
      HttpGet httpget = new HttpGet(TEST_URL);
      System.out.println("executing request" + httpget.getRequestLine());
      CloseableHttpResponse response = httpclient.execute(httpget);
      try {
        HttpEntity entity = response.getEntity();
        if (entity != null) {
          System.out.println(EntityUtils.toString(entity));
        }
      } finally {
        response.close();
      }
    } finally {
      httpclient.close();
    }
  }

仔细读代码,会发现也就是上篇博客中核心类的内容,如何建立SSLContext连接,其中KeyStore和TrustStore如何创建,都有涉及。

项目实例代码已上传github,地址:https://github.com/huzhiting/springboot-https

【总结】

在进行双向认证的过程中,很容易出现校验不通过的情况,还是需要具体问题具体分析。

HTTPClient方式调用尝试很多次不能校验通过的情况下,可以换成HTTPURLConnection试试,毕竟HttpURLConnection是java的标准类。

你可能感兴趣的:(#,Spring,Boot,【JAVA】,Spring,Boot,Https)