是时候该写下Springboot基于Keytool的SSL双向认证代码示了
作者:互联网
1.前言
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 [1] 。HTTPS 在HTTP 的基础下加入SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。
JDK中keytool 常用命令:
-genkey 在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书
(在没有指定生成位置的情况下,keystore会存在用户系统默认目录,如:对于window xp系统,会生成在系统的C:/Documents and Settings/UserName/文件名为“.keystore”)
-alias 产生别名
-keystore 指定密钥库的名称(产生的各类信息将不在.keystore文件中)
-keyalg 指定密钥的算法 (如 RSA DSA(如果不指定默认采用DSA))
-validity 指定创建的证书有效期多少天
-keysize 指定密钥长度
-storepass 指定密钥库的密码(获取keystore信息所需的密码)
-keypass 指定别名条目的密码(私钥的密码)
-dname 指定证书拥有者信息 例如: "CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码"
-list 显示密钥库中的证书信息 keytool -list -v -keystore 指定keystore -storepass 密码
-v 显示密钥库中的证书详细信息
-export 将别名指定的证书导出到文件 keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码
-file 参数指定导出到文件的文件名
-delete 删除密钥库中某条目 keytool -delete -alias 指定需删除的别 -keystore 指定keystore -storepass 密码
-printcert 查看导出的证书信息 keytool -printcert -file yushan.crt
-keypasswd 修改密钥库中指定条目口令 keytool -keypasswd -alias 需修改的别名 -keypass 旧密码 -new 新密码 -storepass keystore密码 -keystore sage
-storepasswd 修改keystore口令 keytool -storepasswd -keystore e:/yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)
-import 将已签名数字证书导入密钥库 keytool -import -alias 指定导入条目的别名 -keystore 指定keystore -file 需导入的证书
本文使用okhttp3访问SpringBoot创建的https接口。
2.SpringBoot配置文件
applicathon.properties
#端口
server.port=8443
#需要分别配置Key Store和Trust Store的文件、密码等信息,即使是同一个文件。
server.ssl.enabled=true
server.ssl.key-store-type=PKCS12
server.ssl.key-store=classpath:star_server.p12
server.ssl.key-store-password=xxxxxxx
server.ssl.key-alias=star_server
server.ssl.trust-store=classpath:star_server.p12
server.ssl.trust-store-password=xxxxxxx
server.ssl.trust-store-provider=SUN
server.ssl.trust-store-type=PKCS12
#server.ssl.client-auth有三个可配置的值:none、want和need。
#双向验证应该配置为need;
#none表示不验证客户端;
#want表示会验证,但不强制验证,即验证失败也可以成功建立连接
server.ssl.client-auth=need
3.代码逻辑
3.1 公共实体类&KeyTools工具类
KeyStoreCommand .java
public class KeyStoreCommand {
private String alias;//产生别名
private int keysize;//指定密钥长度
private String keyalg; //指定密钥的算法 (如 RSA DSA(如果不指定默认采用DSA))
private String sigalg;// 签名算法名称
private String destalias; //目标别名
private String startdate;//证书有效期开始日期/时间
private String commonname;//CN=名字与姓氏
private String organizationalUnit;//OU=组织单位名称
private String organization;//O=组织名称
private String city;//L=城市或区域名称
private String state;//ST=州或省份名称
private String country;//C=单位的两字母国家代码
private long validity; //指定创建的证书有效期多少天
private String keystore;// 指定密钥库的名称
private String storepass;// 指定密钥库的密码(获取keystore信息所需的密码)
private String keypass;//指定别名条目的密码(私钥的密码)
private String storetype;//密钥库类型
private String filepath;// 参数指定导出到文件的证书文件名
Keytools.java类
//1.使用java代码生成密钥库
public static KeyStore createKeyStoreFile(KeyStoreCommand entity,String serverAlias,Certificate serverCert) throws Exception {
final String alias = entity.getAlias();//"home2";
String keystore = entity.getKeystore();//"d:/keys/home2.p12";
final int keySize = entity.getKeysize(); //1024;
final String keyalg=entity.getKeyalg();//RSA
final String sigalg=entity.getSigalg();//SHA256withRSA
final String commonName = entity.getCommonname();//"db";
final String organizationalUnit = entity.getOrganizationalUnit();//"com.home";
final String organization = entity.getOrganization();//"easywith";
final String city = entity.getCity();//"guiyang";
final String state = entity.getState();//"guizhou"
final String country = entity.getCountry();//"cn"
final long validity = entity.getValidity();//3650
final String keyPassword = entity.getKeypass();//"123456";
final String storetype = entity.getStoretype();//PKCS12
// keytool工具
CertAndKeyGen keyGen = new CertAndKeyGen(keyalg, sigalg);
// 通用信息
X500Name x500Name = new X500Name(commonName, organizationalUnit, organization, city, state, country);
//根据密钥长度生成公钥和私钥
keyGen.generate(keySize);
PrivateKey privateKey = keyGen.getPrivateKey();
// 证书
X509Certificate certificate = keyGen.getSelfCertificate(x500Name, new Date(), (long) validity * 24 * 60 * 60);
KeyStore keyStore = KeyStore.getInstance(storetype);
keyStore.load(null,null);
keyStore.setKeyEntry(alias,privateKey,keyPassword.toCharArray(),new Certificate[]{certificate});
System.out.println("Assigns the given trusted certificate to the given alias");
if(StringUtils.isNotEmpty(serverAlias)){
keyStore.setCertificateEntry(serverAlias,serverCert);
}
FileOutputStream outputStream = new FileOutputStream(keystore);
keyStore.store(outputStream,keyPassword.toCharArray());
outputStream.close();
System.out.println("keyStore file created ...");
return keyStore;
}
3.2 构造实体对象
3.2.1 构造KeyStoreCommand实例对象
HanyuPinyinOutputFormat format = new HanyuPinyinOutputFormat();
//拼音小写
format.setCaseType(HanyuPinyinCaseType.LOWERCASE);
//不带声调
format.setToneType(HanyuPinyinToneType.WITHOUT_TONE);
//要转换中文格式
String clientAlias = PinyinHelper.toHanYuPinyinString(tenant.getFullName(), format, "", true);
//每次更新秘钥及证书文件版本递增(alias_0,alias_1....)
clientAlias = clientAlias+"_"+tenant.getVersion();
Long validity = ((tenant.getExpaireTime().getTime() - tenant.getCreateTime().getTime()) / 86400000L);
log.info("受信任证书有效天数:{}(单位:天)",validity);
String CN = (tenant.getShortName()),
OU = (tenant.getFullName()),
O = (tenant.getShortName()),
L = (PinyinHelper.toHanYuPinyinString(tenant.getCity(), format, "", true)),
ST = (PinyinHelper.toHanYuPinyinString(tenant.getProvince(), format, "", true)),
C = ("CN");
log.info("CN=(名字与姓氏):{}, OU=(组织单位名称):{}, O=(组织名称):{}," +
" L=(城市或区域名称):{}, ST=(州或省份名称):{}, C=(单位的两字母国家代码):{}",
CN,OU,O,L,ST,C);
String keyStore = rootPath + clientAlias+".p12";
String cerPath = rootPath + clientAlias+".cer";
log.info("客户端秘钥库:{},受信任证书库:{}",keyStore,cerPath);
3.2.2 重点:核心操作(证书交换)双方受信任
总体步骤:
1. 创建服务端keystore秘钥库
2. 从服务端keystore秘钥库导出服务端证书
3. 创建客户端keystore秘钥库
4. 从客户端keystore秘钥库导出客户端证书
5. 将服务端证书导入客户端keystore中
6. 将客户端证书导入服务端keystore中
首先提前创建好服务端keystore并导出服务端证书(两种方式)
1.通过keytool命令行方式来创建
1.生成服务端keystore
keytool -genkeypair -alias server -keyalg RSA -sigalg SHA256withRSA -dname CN="xxxxx公司",OU="易xx" ,O="大数据组" ,L=Guiyang,ST=Guizhou,C=CN -validity 3650 -keypass 123456-storepass xxxxxx -storetype PKCS12 -keystore D:/keys/starpulse_server.p12
2.导出服务端证书
keytool -export -alias server -file D:/keys/starpulse_server.cer -keystore D:/keys/starpulse_server.p12 -storetype PKCS12 -storepass 123456
2.根据java代码来创建
//1.使用java代码生成密钥库
public static KeyStore createKeyStoreFile() throws Exception {
//构造KeyStoreCommand实体对象
final String alias = entity.getAlias();//"home2";
String keystore = entity.getKeystore();//"d:/keys/home2.p12";
final int keySize = entity.getKeysize(); //1024;
final String keyalg=entity.getKeyalg();//RSA
final String sigalg=entity.getSigalg();//SHA256withRSA
final String commonName = entity.getCommonname();
final String organizationalUnit = entity.getOrganizationalUnit();
final String organization = entity.getOrganization();
final String city = entity.getCity();
final String state = entity.getState();//
final String country = entity.getCountry();
final long validity = entity.getValidity();
final String keyPassword = entity.getKeypass();
final String storetype = entity.getStoretype();//PKCS12
// keytool工具
CertAndKeyGen keyGen = new CertAndKeyGen(keyalg, sigalg);
// 通用信息
X500Name x500Name = new X500Name(commonName, organizationalUnit, organization, city, state, country);
//根据密钥长度生成公钥和私钥
keyGen.generate(keySize);
PrivateKey privateKey = keyGen.getPrivateKey();
// 证书
X509Certificate certificate = keyGen.getSelfCertificate(x500Name, new Date(), (long) validity * 24 * 60 * 60);
KeyStore keyStore = KeyStore.getInstance(storetype);
keyStore.load(null,null);
keyStore.setKeyEntry(alias,privateKey,keyPassword.toCharArray(),new Certificate[]{certificate});
FileOutputStream outputStream = new FileOutputStream(keystore);
keyStore.store(outputStream,keyPassword.toCharArray());
outputStream.close();
System.out.println("keyStore file created ...");
}
//导出证书 base64格式
public static void exportCert(KeyStore keystore, String alias, String exportFile) throws Exception {
Certificate cert = keystore.getCertificate(alias);
BASE64Encoder encoder = new BASE64Encoder();
String encoded = encoder.encode(cert.getEncoded());
FileWriter fw = new FileWriter(exportFile);
fw.write("-----BEGIN CERTIFICATE-----\r\n"); //非必须
fw.write(encoded);
fw.write("\r\n-----END CERTIFICATE-----"); //非必须
fw.close();
}
核心操作(证书交换)双方受信任
//第一步:加载服务端秘钥库
KeyStore serverKeystore = KeyStore.getInstance("PKCS12");
serverKeystore.load(new FileInputStream(new File(serverStore)), password.toCharArray());
Certificate serverCert = serverKeystore.getCertificate(serverAlias);
//第二步:创建客户端秘钥库(详见keytools工具类)
KeyStore clientKeystore = KeyTools.createKeyStoreFile(entity,serverAlias,serverCert);
KeyTools.exportCert(clientKeystore, entity.getAlias(),entity.getFilepath());
log.info("客户信任证书:{}制发完成",entity.getFilepath());
Certificate clientCert = clientKeystore.getCertificate(entity.getAlias());
log.info("根据alias导出证书客户指纹信任证书:{}",entity.getAlias());
//第三步:导入客户端证书到服务端受信库(让服务端信任客户端)
serverKeystore.setCertificateEntry(entity.getAlias(),clientCert);
//第四步:将服务端秘钥保存到文件
FileOutputStream outputStream = new FileOutputStream(serverStore);
serverKeystore.store(outputStream,password.toCharArray());
log.info("客户:{}信任证书,alias:{}制发完成",entity.getCommonname(),entity.getAlias());
运行秘钥及证书结果如下
导出证书生成功能完成
4.示例代码使用okhttp3访问https接口
使用okhttp3访问SpringBoot创建的https接口
明天写吧,今天太累了。。。。。。。。。。。。。。。
标签:keystore,Keytool,Springboot,证书,entity,SSL,alias,final,String 来源: https://blog.csdn.net/u012637358/article/details/123586002