SSL介绍与Java实例

 

有关SSL的原理和介绍在网上已经有不少，对于Java下使用keytool生成证书，配置SSL通信的教程也非常多。但如果我们不能够亲自动手做一个SSL Sever和SSL Client，可能就永远也不能深入地理解Java环境下，SSL的通信是如何实现的。对SSL中的各种概念的认识也可能会仅限于可以使用的程度。本文通过构造一个简单的SSL Server和SSL Client来讲解Java环境下SSL的通信原理。

首先我们先回顾一下常规的Java Socket编程。在Java下写一个Socket服务器和客户端的例子还是比较简单的。以下是服务端的代码：

01 package org.bluedash.tryssl;
02
03 import java.io.BufferedReader;
04 import java.io.IOException;
05 import java.io.InputStreamReader;
06 import java.io.PrintWriter;
07 import java.net.ServerSocket;
08 import java.net.Socket;
09
10 public class Server extends Thread {
11     private Socket socket;
12
13     public Server(Socket socket) {
14         this.socket = socket;
15     }
16
17     public void run() {
18         try {
19             BufferedReader reader = new BufferedReader(newInputStreamReader(socket.getInputStream()));
20             PrintWriter writer = newPrintWriter(socket.getOutputStream());
21
22             String data = reader.readLine();
23             writer.println(data);
24             writer.close();
25             socket.close();
26         } catch (IOException e) {
27
28         }
29     }
30
31     public static void main(String[] args) throws Exception {
32         while (true) {
33             new Server((newServerSocket(8080)).accept()).start();
34         }
35     }
36 }

服务端很简单：侦听8080端口，并把客户端发来的字符串返回去。下面是客户端的代码：

01 package org.bluedash.tryssl;
02
03 import java.io.BufferedReader;
04 import java.io.InputStreamReader;
05 import java.io.PrintWriter;
06 import java.net.Socket;
07
08 public class Client {
09
10     public static void main(String[] args) throws Exception {
11
12         Socket s = new Socket("localhost", 8080);
13
14         PrintWriter writer = newPrintWriter(s.getOutputStream());
15         BufferedReader reader = new BufferedReader(newInputStreamReader(s.getInputStream()));
16         writer.println("hello");
17         writer.flush();
18         System.out.println(reader.readLine());
19         s.close();
20     }
21
22 }

客户端也非常简单：向服务端发起请求，发送一个"hello"字串，然后获得服务端的返回。把服务端运行起来后，执行客户端，我们将得到"hello"的返回。

就是这样一套简单的网络通信的代码，我们来把它改造成使用SSL通信。在SSL通信协议中，我们都知道首先服务端必须有一个数字证书，当客户端连接到服务端时，会得到这个证书，然后客户端会判断这个证书是否是可信的，如果是，则交换信道加密密钥，进行通信。如果不信任这个证书，则连接失败。

因此，我们首先要为服务端生成一个数字证书。Java环境下，数字证书是用keytool生成的，这些证书被存储在store的概念中，就是证书仓库。我们来调用keytool命令为服务端生成数字证书和保存它使用的证书仓库：

1 keytool -genkey -v -alias bluedash-ssl-demo-server -keyalg RSA -keystore ./server_ks -dname"CN=localhost,OU=cn,O=cn,L=cn,ST=cn,C=cn" -storepass server -keypass 123123

这样，我们就将服务端证书bluedash-ssl-demo-server保存在了server_ksy这个store文件当中。有关keytool的用法在本文中就不再多赘述。执行上面的命令得到如下结果：

1 Generating 1,024 bit RSA key pair and self-signed certificate (SHA1withRSA) with a validity of 90 days
2         for: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn
3 [Storing ./server_ks]

然后，改造我们的服务端代码，让服务端使用这个证书，并提供SSL通信：

01 package org.bluedash.tryssl;
02
03 import java.io.BufferedReader;
04 import java.io.FileInputStream;
05 import java.io.IOException;
06 import java.io.InputStreamReader;
07 import java.io.PrintWriter;
08 import java.net.ServerSocket;
09 import java.net.Socket;
10 import java.security.KeyStore;
11
12 import javax.net.ServerSocketFactory;
13 import javax.net.ssl.KeyManagerFactory;
14 import javax.net.ssl.SSLContext;
15 import javax.net.ssl.SSLServerSocket;
16
17 public class SSLServer extends Thread {
18     private Socket socket;
19
20     public SSLServer(Socket socket) {
21         this.socket = socket;
22     }
23
24     public void run() {
25         try {
26             BufferedReader reader = new BufferedReader(newInputStreamReader(socket.getInputStream()));
27             PrintWriter writer = newPrintWriter(socket.getOutputStream());
28
29             String data = reader.readLine();
30             writer.println(data);
31             writer.close();
32             socket.close();
33         } catch (IOException e) {
34
35         }
36     }
37
38     private static String SERVER_KEY_STORE ="/Users/liweinan/projs/ssl/src/main/resources/META-INF/server_ks";
39     private static String SERVER_KEY_STORE_PASSWORD ="123123";
40
41     public static void main(String[] args) throws Exception {
42         System.setProperty("javax.net.ssl.trustStore", SERVER_KEY_STORE);
43         SSLContext context = SSLContext.getInstance("TLS");
44
45         KeyStore ks = KeyStore.getInstance("jceks");
46         ks.load(new FileInputStream(SERVER_KEY_STORE), null);
47         KeyManagerFactory kf = KeyManagerFactory.getInstance("SunX509");
48         kf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());
49
50         context.init(kf.getKeyManagers(), null, null);
51
52         ServerSocketFactory factory = context.getServerSocketFactory();
53         ServerSocket _socket = factory.createServerSocket(8443);
54         ((SSLServerSocket) _socket).setNeedClientAuth(false);
55
56         while (true) {
57             new SSLServer(_socket.accept()).start();
58         }
59     }
60 }

可以看到，服务端的Socket准备设置工作大大增加了，增加的代码的作用主要是将证书导入并进行使用。此外，所使用的Socket变成了SSLServerSocket，另外端口改到了8443（这个不是强制的，仅仅是为了遵守习惯）。另外，最重要的一点，服务端证书里面的CN一定和服务端的域名统一，我们的证书服务的域名是localhost，那么我们的客户端在连接服务端时一定也要用localhost来连接，否则根据SSL协议标准，域名与证书的CN不匹配，说明这个证书是不安全的，通信将无法正常运行。

有了服务端，我们原来的客户端就不能使用了，必须要走SSL协议。由于服务端的证书是我们自己生成的，没有任何受信任机构的签名，所以客户端是无法验证服务端证书的有效性的，通信必然会失败。所以我们需要为客户端创建一个保存所有信任证书的仓库，然后把服务端证书导进这个仓库。这样，当客户端连接服务端时，会发现服务端的证书在自己的信任列表中，就可以正常通信了。

因此现在我们要做的是生成一个客户端的证书仓库，因为keytool不能仅生成一个空白仓库，所以和服务端一样，我们还是生成一个证书加一个仓库（客户端证书加仓库）：

1 keytool -genkey -v -alias bluedash-ssl-demo-client -keyalg RSA -keystore ./client_ks -dname"CN=localhost,OU=cn,O=cn,L=cn,ST=cn,C=cn" -storepass client -keypass 456456

结果如下：

1 Generating 1,024 bit RSA key pair and self-signed certificate (SHA1withRSA) with a validity of 90 days
2         for: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn
3 [Storing ./client_ks]

接下来，我们要把服务端的证书导出来，并导入到客户端的仓库。第一步是导出服务端的证书：

1 keytool -export -alias bluedash-ssl-demo-server -keystore ./server_ks -file server_key.cer

执行结果如下：

1 Enter keystore password:  server