一、简介
JSSE,它包含了实现Internet安全通信的一系列包的集合,是SSL和TLS的纯Java实现,同时它是一个开放的标准,每个公司都可以自己实现JSSE,通过它可以透明地提供数据加密、服务器认证、信息完整性等功能,就像使用普通的套接字一样使用安全套接字
一些概念
证书产生方式
证书会描述所有者的一些基本信息,如公司名称、联系人等。证书由所有人以密码形式签名。获取方式一般两个:
- 权威机构购买证书
- 自己用JDK的keytool创建自我签名的证书。这种情况下一般为了防止数据被篡改,身份认证不是主要目的。
cer
俗称证书,但这个证书中没有私钥,只包含了公钥。
.pfx
一般供浏览器使用,不仅包含公钥,也包含了私钥。私钥是加密的,不输入密码无法解密。
jks
Java密钥存储器,可以同时容纳很多公钥与私钥,是一个密钥库,可以通过Keytool生成。
.keystore
与.jks基本一样,是默认生成的证书存储格式
truststore
表示信任证书存储库,仅包含了通信对方的公钥。当然你可以直接把通信对方的jks作为信任库(就算如此也只能知道通信对方的公钥,其中的密钥是加密的,无法破解)
PKCS#12
通常为*.p12或*.pfx,个人信息交换文件 ,可以通过OpenSSL工具产生。
有时候要把pfx或cert转换为jks以便于java进行ssl通信,比如一个银行只提供了pfx证书,而我们想用java进行ssl通信就要把pfx转换为jks格式。
密钥存储格式转换说明:
keytool导入 pkcs#12文件
PKCS#12可包含所有私钥、公钥和证书。其以二进制格式存储,也称为 PFX 文件。
pfx文件可以直接作为一个keystore使用,如果报告错误:
java.io.IOException: failed to decrypt safe contents entry
可以通过OpenSSL转换一下:
openssl pkcs12 -in a.pfx -out a.pem
openssl pkcs12 -export -in a.pem -out a1.pfx
keytool -rfc -list -keystore a1.pfx -storetype pkcs12
Java 相关接口与类图
单向认证与双向认证
很多情况下客户端要对服务器端的身份进行验证,但是无需向服务器证实自己的身份,这样不用向对方证实自己身份的通信端就说它处于客户端模式,否则它处理服务器模式。
SSLSocket.setUseClientMode(Boolean mode)用于设置客户端模式或服务器端模式。
二、核心类
SSLSocket和SSLServerSocket
对应socket通讯的就是Socket与ServerSocket,只是表示实现了SSL协议的Socket和ServerSocket,同时它们也是Socket与ServerSocket子类。
SSLSocket包含:
- 设置加密套件
- 管理SSL会话
- 处理握手结束时间
- 设置客户端模式或服务器模式
SSLSocketFactory和SSLServerSocketFactory
客户端与服务端Socket工厂,用于生产出需要的实例。
SSLSocket和SSLServerSocket对象的创建工作也是给这两个工厂类。
SSLSession
SSL 会话。为了提高通信的效率,SSL协议允许多个SSLSocket共享同一个SSL会话。在同一个会话中,只有第一个打开的SSLSocket需要进行SSL握手,负责生成密钥和交换密钥,其余SSLSocket都共享密钥信息。
SSLContext
SSL上下文。是对整个SSL/TLS协议的封装,表示了安全套接字协议的实现,主要负责设置安全通信过程中的各种信息,如和证书相关的信息,并且负责构建SSLSocketFactory、SSLServerSocketFactory和SSLEngine等工厂类。
SSLEngine
SSL非阻塞引擎。如果要进行NIO通信,使用这个类让通信过程支持非阻塞的安全通信。
KeyManager
密钥管理器。此接口负责选择用于证实自己身份的安全证书,发给通信的另一方。KeyManager对象由KeyManagerFactory工厂类生成。
TrustManager
信任管理器,负责判断决定是否信任对方的安全证书。TrustManager对象由TrustManagerFactory工厂类生成。
KeyStore
用于存放安全证书,一般以文件形式存放,KeyStore负责将证书加载到内存。
三、 keytool命令行参数
生成p12证书
keytool -genkey -alias myServer -keysize 1024 -validity 3650 -keyalg RSA -dname "CN=localhost" -keypass keypass密码 -storepass sotrepss密码 -keystore myServerCerts.jks
- genkey:生成一对非对称密钥
- keyalg : 加密算法
- keystore : 证书存放路径
- alias : 密钥对别名,这个别名是公开的
# 创建服务端秘钥
keytool -genkey -alias nettyServer -keysize 1024 -validity 36500 -keyalg RSA -dname "CN=localhost" -keypass syourkeypass -storepass syourstorepass -keystore serverCerts.jks
新的keytool这里会直接生成pkcs12格式,通过 keytool -list -keystore file.jks 可以看到证书格式。 可以使用下面命令将pkcs12转jks
keytool -v -importkeystore -srckeystore serverCerts.p12 -srcstoretype PKCS12 -destkeystore serverCerts.jks -deststoretype JKS
# 导出服务端秘钥
keytool -export -alias nettyServer -keystore serverCerts.jks -storepass syourstorepass -file serverCert.cer
# 创建客户端秘钥
keytool -genkey -alias nettyClient -keysize 1024 -validity 36500 -keyalg RSA -dname "CN=PF,OU=YJC,O=YJC,L=BJ,S=BJ,C=ZN" -keypass ckeypass -storepass cstorepass -keystore clientCerts.jks
# 导出客户端秘钥
keytool -export -alias nettyClient -keystore clientCerts.jks -file nettyclientCert.cer -storepass cstorepass
# 将客户端的证书导入到服务端的信任证书仓库中
keytool -import -trustcacerts -alias smccServer -file nettyClientCert.cer -storepass storepass -keystore serverCerts.jks
# 将服务端的证书导入到客户端的信任证书仓库中
keytool -import -trustcacerts -alias smccClient -file serverCert.cer -storepass cstorepass -keystore clientCerts.jks
# 查看jks
keytool -list -keystore file.jks
# 打印数字证书
Keytool -printcert -file filename.cer
参考文章:
http://www.jeepxie.net/article/855158.html
https://www.cnblogs.com/sean-zou/p/3710024.html