参考文章1(原文链接:http://ian.wang/118.htm):
java tomcat 搭建SSL双向认证以及httpclient代码
java tomcat 搭建SSL双向认证以及httpclient代码 一、生成密钥库和证书 可参考以下密钥生成脚本,根据实际情况做必要的修改,其中需要注意的是:服务端的密钥库参数“CN”必须与服务端的IP地址相同,否则会报错,客户端的任意。 key.script 1 、生成服务器证书库 keytool -validity 365 -genkey -v -alias server -keyalg RSA -keystore /opt/web/ssl/server.keystore -dname "CN=localhost,OU=sumscope,O=sumscope,L=Pudong,ST=Shanghai,c=com" -storepass 123456 -keypass 123456 2 、生成客户端证书库 keytool -validity 365 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore /opt/web/ssl/client.p12 -dname "CN=client,OU=sumscope,O=sumscope,L=Pudong,ST=Shanghai,c=com" -storepass 123456 -keypass 123456 3 、从客户端证书库中导出客户端证书 keytool -export -v -alias client -keystore /opt/web/ssl/client.p12 -storetype PKCS12 -storepass 123456 -rfc -file /opt/web/ssl/client.cer 4 、从服务器证书库中导出服务器证书 keytool -export -v -alias server -keystore /opt/web/ssl/server.keystore -storepass 123456 -rfc -file /opt/web/ssl/server.cer 5 、生成客户端信任证书库(由服务端证书生成的证书库) keytool -import -v -alias server -file /opt/web/ssl/server.cer -keystore /opt/web/ssl/client.truststore -storepass 123456
其中client.truststore由于是jks格式,需要使用keystore explorer来转换成bks,然后才可以在android平台使用 6 、将客户端证书导入到服务器证书库(使得服务器信任客户端证书) keytool -import -v -alias client -file /opt/web/ssl/client.cer -keystore /opt/web/ssl/server.keystore -storepass 123456 7 、查看证书库中的全部证书 keytool -list -keystore /opt/web/ssl/server.keystore -storepass 123456 二、Tomat配置 使用文本编辑器编辑${catalina.base}/conf/server.xml 找到Connector port="8443"的标签,取消注释,并修改成如下: <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="SSL" keystoreFile="/opt/web/ssl/server.keystore" keystorePass="123456" truststoreFile="/opt/web/ssl/server.keystore" truststorePass="123456" /> 备注: keystoreFile:指定服务器密钥库,可以配置成绝对路径,如“/opt/web/ssl/server.keystore”。 keystorePass:密钥库生成时的密码 truststoreFile:受信任密钥库,和密钥库相同即可 truststorePass:受信任密钥库密码 三、建立演示项目 项目结构图: 项目名称:SSL(随意) 1. SSLServlet.java package ian.wang.ssl.servlet; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.io.PrintWriter; import java.security.cert.X509Certificate; public class SSLServlet extends HttpServlet { private static final String ATTR_CER = "javax.servlet.request.X509Certificate"; private static final String CONTENT_TYPE = "text/plain;charset=UTF-8"; private static final String DEFAULT_ENCODING = "UTF-8"; private static final String SCHEME_HTTPS = "https"; public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType(CONTENT_TYPE); response.setCharacterEncoding(DEFAULT_ENCODING); PrintWriter out = response.getWriter(); out.println("cmd=["+request.getParameter("cmd")+"], data=["+request.getParameter("data")+"]"); X509Certificate[] certs = (X509Certificate[]) request.getAttribute(ATTR_CER); if (certs != null) { int count = certs.length; out.println("共检测到[" + count + "]个客户端证书"); for (int i = 0; i < count; i++) { out.println("客户端证书 [" + (++i) + "]: "); out.println("校验结果:" + verifyCertificate(certs[--i])); out.println("证书详细:\r" + certs[i].toString()); } } else { if (SCHEME_HTTPS.equalsIgnoreCase(request.getScheme())) { out.println("这是一个HTTPS请求,但是没有可用的客户端证书"); } else { out.println("这不是一个HTTPS请求,因此无法获得客户端证书列表 "); } } out.close(); } public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { doGet(request, response); } private boolean verifyCertificate(X509Certificate certificate) { boolean valid = false; try { certificate.checkValidity(); valid=true; } catch (Exception e) { e.printStackTrace(); } return valid; } } 2. web.xml 说明:该演示项目强制使用了SSL,即普通的HTTP请求也会强制重定向为HTTPS请求,配置在最下面,可以去除,这样HTTP和HTTPS都可以访问。 <?xml version="1.0" encoding="UTF-8"?> <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"> <session-config> <session-timeout>30</session-timeout> </session-config> <servlet> <servlet-name>SSLServlet</servlet-name> <servlet-class>ian.wang.ssl.servlet.SSLServlet</servlet-class> </servlet> <servlet-mapping> <servlet-name>SSLServlet</servlet-name> <url-pattern>/sslServlet</url-pattern> </servlet-mapping> <!-- 强制SSL配置,即普通的请求也会重定向为SSL请求 --> <security-constraint> <web-resource-collection> <web-resource-name>SSL</web-resource-name> <url-pattern>/*</url-pattern> <!-- 全站使用SSL --> </web-resource-collection> <user-data-constraint> <description>SSL required</description> <!-- CONFIDENTIAL: 要保证服务器和客户端之间传输的数据不能够被修改,且不能被第三方查看到 --> <!-- INTEGRAL: 要保证服务器和client之间传输的数据不能够被修改 --> <!-- NONE: 指示容器必须能够在任一的连接上提供数据。(即用HTTP或HTTPS,由客户端来决定) --> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> </web-app> 3. index.jsp <%@ page language="java" pageEncoding="UTF-8"%> <!doctype html> <html lang="zh-cn"> <head> <title>客户端证书上传</title> <meta http-equiv="pragma" content="no-cache"> <meta http-equiv="cache-control" content="no-cache"> <meta http-equiv="expires" content="0"> </head> <body> <form action="sslServlet" method="post"> <input type="submit" value="提交证书"/> </form> </body> </html> 四、演示及配置 发布演示项目,通过浏览器访问: http://127.0.0.1:8080/SSL 或 https://127.0.0.1:8443/SSL ,提示无法访问,需要导入客户端SSL证书: 双击“client.p12”或在浏览器的工具,输入生成密钥时的客户端密码“222222”,刷新浏览器即可正常访问了。 五、HttpClient模拟SSL Post请求 1. HttpClientUtil.java package ian.wang.ssl.util; import org.apache.http.HttpEntity; import org.apache.http.HttpResponse; import org.apache.http.NameValuePair; import org.apache.http.client.HttpClient; import org.apache.http.client.entity.UrlEncodedFormEntity; import org.apache.http.client.methods.HttpPost; import org.apache.http.conn.scheme.Scheme; import org.apache.http.conn.ssl.SSLSocketFactory; import org.apache.http.impl.client.DefaultHttpClient; import org.apache.http.message.BasicNameValuePair; import org.apache.http.util.EntityUtils; import java.io.File; import java.io.FileInputStream; import java.io.InputStream; import java.security.KeyStore; import java.util.*; public class HttpClientUtil { private static final String KEY_STORE_TYPE_JKS = "jks"; private static final String KEY_STORE_TYPE_P12 = "PKCS12"; private static final String SCHEME_HTTPS = "https"; private static final int HTTPS_PORT = 8443; private static final String HTTPS_URL = "https://localhost:8443/sslServlet"; private static final String KEY_STORE_CLIENT_PATH = "/opt/web/ssl/client.p12"; private static final String KEY_STORE_TRUST_PATH = "/opt/web/ssl/client.truststore"; private static final String KEY_STORE_PASSWORD = "222222"; private static final String KEY_STORE_TRUST_PASSWORD = "222222"; public static void main(String[] args){ String url=HTTPS_URL; Map params=new HashMap(); params.put("cmd","test"); params.put("data","证书1"); String charset="utf-8"; doSSLPost( url, params, charset); } private static void doSSLPost(String url, Map<String, String> map, String charset) { HttpClient httpClient = new DefaultHttpClient(); String result = null; try { KeyStore keyStore = KeyStore.getInstance(KEY_STORE_TYPE_P12); KeyStore trustStore = KeyStore.getInstance(KEY_STORE_TYPE_JKS); InputStream ksIn = new FileInputStream(KEY_STORE_CLIENT_PATH); InputStream tsIn = new FileInputStream(new File(KEY_STORE_TRUST_PATH)); try { keyStore.load(ksIn, KEY_STORE_PASSWORD.toCharArray()); trustStore.load(tsIn, KEY_STORE_TRUST_PASSWORD.toCharArray()); } finally { try { ksIn.close(); } catch (Exception ignore) { } try { tsIn.close(); } catch (Exception ignore) { } } SSLSocketFactory socketFactory = new SSLSocketFactory(keyStore, KEY_STORE_PASSWORD, trustStore); Scheme sch = new Scheme(SCHEME_HTTPS, HTTPS_PORT, socketFactory); httpClient.getConnectionManager().getSchemeRegistry().register(sch); HttpPost httpPost = new HttpPost(url); //设置参数 if (map != null) { List<NameValuePair> list = new ArrayList<NameValuePair>(); Iterator iterator = map.entrySet().iterator(); while (iterator.hasNext()) { Map.Entry<String, String> elem = (Map.Entry<String, String>) iterator.next(); list.add(new BasicNameValuePair(elem.getKey(), elem.getValue())); } httpPost.setEntity(new UrlEncodedFormEntity(list, charset)); } HttpResponse response = httpClient.execute(httpPost); if (response != null) { HttpEntity resEntity = response.getEntity(); if (resEntity != null) { result = EntityUtils.toString(resEntity, charset); } } System.out.println("result={" + result + "}"); }catch(Exception e){ e.printStackTrace(); } finally { httpClient.getConnectionManager().shutdown(); } } }
六、使用浏览器访问 https应用截图
1. 打开浏览器,访问测试网址:https://101.231.124.155:8443/ssl , 由于该应用配置了 Tomcat SSL双向认证,需要客户端提供证书文件导入成功了,才能正常访问。在Firefox 浏览器中,导入客户端证书, 在 Firefox 选项 - 高级 - 证书 中, 点击 查看证书。
2. 点击“导入”, 选择客户端证书文件 client.p12
3. 输入客户端证书密码
4. 客户端证书验证成功后,显示证书如下
5. 打开网址,输入: https://101.231.124.155:8443 ,浏览器会提示 选择已安装的证书,点击“确认”。
6. 显示如下,则表示SSL证书导入成功, 测试页面正常显示了。
本文演示Https双向验证实例,Web容器为Tomcat。
一.准备工作:
1.创建服务器KeyStore。
命令:keytool -genkey -alias server_jks_cennavi -keyalg RSA -keypass 123456 -storepass 123456 -keystore server.jks -validity 3650.
keytool命令如下:
-genkey 在用户主目录中创建一个默认文件".jks",还会产生一个server_jks_cennavi的别名,server_jks_cennavi中包含用户的公钥、私钥和证书
-alias 产生别名
-keystore 指定密钥库的名称(产生的各类信息将不在.jks文件中
-keyalg 指定密钥的算法
-validity 指定创建的证书有效期多少天
-keysize 指定密钥长度
-storepass 指定密钥库的密码
-keypass 指定别名条目的密码
-dname 指定证书拥有者信息
在相对应的 H:\keys\server 目录下你能看到一个server.jks文件。
3.导出服务端证书。
定位到服务端 H:\keys\server 目录:keytool -export -trustcacerts -alias server_jks_cennavi -file server.cer -keystore server.jks -storepass 123456
在相对于的 H:\keys\server 目录下你能看到一个server.cer文件。
4.创建客户端KeyStore。
在相对应的 H:\keys\client 目录下你能看到一个client.p12文件。
5.导出客户端Cer证书。
定位到服务端 H:\keys\client 目录:keytool -export -trustcacerts -alias client_p12_cennavi -file client.cer -keystore client.p12 -storepass 123456 -storetype PKCS12
在相对于的 H:\keys\client目录下你能看到一个client.cer文件。
6.交换导入服务端和客户端证书,作为双方信任证书。
将客户端证书导入服务端keystore:keytool -import -trustcacerts -alias client_p12_cennavi -file client.cer -keystore server.jks
将服务端证书导入客户端keystore:keytool -import -trustcacerts -alias server_jks_cennavi -file server.cer -keystore client.jks
7.配置服务端tomcat文件下/conf/server.xml。
设置clientAuth="true"为双向验证也就是服务端同时验证客户可证书。
设置clientAuth="false"为双向验证也就是只验证服务端证书。
8.启动服务端程序tomcat服务,打开IE输入访问地址:https://localhost:8443/ServerDemo,本人的测试程序,程序很简单里面就一个对外开发的Servlet程序片。
你会发现IE提示:Internet Explore 无法显示该界面,这是因为我们没有将客户端client.p12证书导入到IE中出现的问题。
9.导入客户端client.p12证书,双击client.p12,next-->next-->输入私钥密码。
再次打开IE输入访问地址https://localhost:8443/ServerDemo,会提示一个对话框,为什么会出现这个对话框我也不是很清楚....
如图:
点击确定:你会看到IE浏览器已经阻止了你继续访问,原因是没有安装服务端证书。
点击
安装服务端证书。
到这里就告一段落了,那如何用Java程序来调用服务器端对外开放的Servlet程序片?
客户端代码:
运行在控制台中可以看到服务端返回的信息。
本人第一次写文章,写的不是很好,文章中可能有不正确的地方,请各位朋友指出来,谢谢。
大家有什么好的方法和建议请留言,谢谢。
android使用:
try {
SSLContext context = SSLContext.getInstance("TLS");
if(Constant.isIgnoreC)
{
KeyStore trustStore = KeyStore.getInstance("BKS");
CertificateFactory cerFactory = CertificateFactory.getInstance("X.509");
Certificate cer = cerFactory.generateCertificate(MyApplication.getContextObject().getResources().getAssets().open("bjserver.cer"));bjserver.cer是直接从网址栏中导出的cer证书
trustStore.load(null, null);
trustStore.setCertificateEntry("trust", cer);
// trustStore.load(MyApplication.getContextObject().getResources().getAssets().open("client.truststore.bks"), "123456".toCharArray());//此方法是使用keystore explorer将参考文章1中jks格式的client.truststore转换成bks格式来设置truststore
//下面注释掉的5行代码设置客户端证书,用于发送给服务端进行校验(前提是服务端已采用双向认证,则设置之后就会进行对客户端证书的校验)
// KeyStore kks = KeyStore.getInstance("PKCS12", "BC");
// kks.load(MyApplication.getContextObject().getResources().getAssets().open("client.p12"), "123456".toCharArray());
// KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X509");
// keyManagerFactory.init(kks, "123456".toCharArray());
// context.init(keyManagerFactory.getKeyManagers(), new TrustManager[] { new EasyX509TrustManager(trustStore) }, null);
//目前不校验客户端证书,故init的时候第一个参数传的是null,只设置了trustmanager为truststore证书,客户端只信任truststore证书的服务器,即上面代码中的bjserver.cer所在的服务器
context.init(null, new TrustManager[] { new EasyX509TrustManager(trustStore) }, null);
}
else
context.init(null, new TrustManager[] { new EasyX509TrustManager(null) }, null);
return context;
} catch (Exception e) {
throw new IOException(e.getMessage());
}
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 周边上新:园子的第一款马克杯温暖上架
· Open-Sora 2.0 重磅开源!
· .NET周刊【3月第1期 2025-03-02】
· 分享 3 个 .NET 开源的文件压缩处理库,助力快速实现文件压缩解压功能!
· [AI/GPT/综述] AI Agent的设计模式综述