【加密与解密】【07】SSL安全套件全剖析

莫张周刘王  金牌会员 | 2024-7-31 02:05:47 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 916|帖子 916|积分 2748

SSL/TLS协议

SSL,Secure Socket Layer,安全套接层
TLS,Transport Layer Security,传输层安全协议
TLS是SSL的最终完善版本,一样平常也可称为SSL协议
SSL是负责传输层安全,确定传输层数据怎样封装的一套协议
SSL协议阶段



  • 算法协商
  • 数字证书验证
  • 数据通信
SSL协议核心内容



  • 事先准备:
  • 服务端生成自己的私钥和公钥
  • 服务端向CA机构申请SSL证书
  • CA向服务器颁发数字证书,该证书通过CA私钥加密,包含了服务端域名和公钥,用于证实服务端身份
  • 算法协商阶段:
  • 客户端和服务端分别生成随机数RNC和RNS,连同SSL算法参数一起发送给对方
  • 数字证书验证阶段:
  • 服务端将自己的数据进行择要,再通过私钥加密,生成数字署名
  • 服务端将数据+数字署名+数字证书,一同发往客户端
  • 客户端通过CA公钥解密数字证书,确认证书与域名一致后,拿到服务端公钥(包管了公钥未被篡改)
  • 客户端通过服务端公钥解开数字署名,得到数据择要(包管了数据来自服务端)
  • 客户端对数据部分进行择要,与数字署名中的择要进行对比(包管了数据完整性)
  • 客户端生成随机数PMS(Pre Master Secret),通过服务端公钥加密,发给服务端
  • 服务端通过私钥解密出PMS
  • 两边根据RNC+RNS+PMS构建主密钥MS(Master Secret),完成对称秘钥协商
  • 数据通信阶段:
  • 服务端和客户端通过主密钥MS,加密解密通信数据
  • 双向认证:
  • 如果服务端也要求客户端持有SSL证书,则增加一步服务端验证客户端证书的过程
  • 秘钥协商算法:
  • 以上流程使用的是DH秘钥协商算法
  • 如果用的是RSA算法,则直接将PMS作为MS使用,而且由客户端发送给服务端
SSL协议应用



  • 最常见的是应用于Https协议
  • 此外也可应用于Socket和WebSocket
SSL核心类



  • KeyManager,用于管理自己的私钥和证书,多用于服务端
  • TrustManager,用于验证收到的证书是否可信,多用于客户端
  • 服务端也可以要求客户端也发送安全证书,即双向认证,此时两边都要同时设置KeyManager+TrustManager
  • KeyStore,秘钥仓库,用来存储私钥、公钥、证书等数据,可设置暗码
  • TrustStore,KeyStore的一种,存储CA证书,用于验证服务端身份精确性,暗码公开
  • KeyStore和TrustStore的区别,仅在于存储的内容差别,它们可以是同一个文件,但是不建议这么做
  • Java中比力常见的KeyStore文件格式是JKS,此外尚有CRT、PEM、P12、KEY等格式,私钥和证书也大概分开保存
  • KeyManagerFactory,用于创建KeyManager,一样平常通过algorithm和keystore文件来初始化
  • TrustManagerFactory,用于创建TrustManager,一样平常通过algorithm和keystore文件来初始化
  • SSLContext,用于团体管理SSL相干事件,一样平常通过KeyManager和TrustManager来初始化
  • 当KeyManager和TrustManager未指定时,SSLContext会从体系已安装的SecurityProvider中,搜刮合适的Provider来处理对应工作
  • SSLServerSocketFactory,用于创建带SSL功能的ServerSocket,可通过SSLContext创建
  • SSLSocketFactory,用于创建带SSL功能的ClientSocket,可通过SSLContext创建
  • 也可以不使用Factory和KeyStore,通过自界说的方式来创建KeyManager和TrustManager
  • SSLSessionContext,维护全部会话信息,可通过SSLContext.getSessionContext获得
  • SSLSession,可通过SSLSessionContext或SSLSocket来获得
  • SSLServerSocket可以吸收来自多个客户端的连接,SSLSocket只能连接指定的服务器和端口
  • SSLEngine,用于实现SSL握手,通过SSLContext创建,一样平常不用自己去实现,属于偏内部的Class
通过KeyTool生成KeyStore

学习SSL起首得有用于测试的SSL证书库,所以我们先来看看怎样生成KeyStore
private.keystore和public.truststore本质上都是JKS文件,只是为了区分作用而换了后缀
  1. # 生成私钥证书,首个名称请输入域名或ip
  2. keytool -genkeypair -alias alias -keyalg RSA -validity 365 -keystore private.keystore
  4. # 生成公钥证书
  5. keytool -export -alias alias -keystore private.keystore -rfc -file public.cer
  7. # 公钥证书转为JKS格式
  8. keytool -import -alias alias -file public.cer -keystore public.truststore
复制代码
KeyStore格式转换

JKS是Java专用的秘钥仓库格式
差别平台和语言的对KeyStore的支持性和使用习惯并不一样
比如安卓就不支持JKS格式,安卓上的证书一样平常使用P12格式
我们可以通过KeyStore Explorer软件来转换
  1. https://keystore-explorer.org/downloads.html
复制代码
使用带SSL的TcpSocket

  1. import java.io.*
  2. import java.security.KeyStore
  3. import javax.net.ssl.KeyManagerFactory
  4. import javax.net.ssl.SSLContext
  5. import javax.net.ssl.SSLServerSocket
  6. import javax.net.ssl.SSLSocket
  7. import javax.net.ssl.TrustManagerFactory
  9. const val serverKeyStore = "resources/private.keystore"
  10. const val clientKeyStore = "resources/public.truststore"
  11. const val passphrase = "123456"
  13. const val serverPort = 18001
  15. fun main() {
  16.     Thread(::launchServerSocket).start()
  17.     Thread.sleep(500)
  18.     Thread(::launchClientSocket).start()
  19. }
  21. fun launchServerSocket() {
  22.     // load key manager from key store
  23.     val keyManagerFactory = KeyManagerFactory.getInstance("SunX509")
  24.     val keyStore = KeyStore.getInstance("JKS")
  25.     keyStore.load(FileInputStream(serverKeyStore), passphrase.toCharArray())
  26.     keyManagerFactory.init(keyStore, passphrase.toCharArray())
  27.     val keyManagers = keyManagerFactory.keyManagers
  28.     // init ssl context
  29.     val context = SSLContext.getInstance("TLS")
  30.     context.init(keyManagers, null, null)
  31.     // create server socket
  32.     val serverSocketFactory = context.serverSocketFactory
  33.     val serverSocket = serverSocketFactory.createServerSocket(serverPort) as SSLServerSocket
  34.     serverSocket.needClientAuth = false
  35.     // accept client session
  36.     val socket = serverSocket.accept() as SSLSocket
  37.     // communication with client
  38.     while (true) {
  39.         Thread.sleep(500)
  40.         socket.getOutputStream().write("Hello World".encodeToByteArray())
  41.         socket.getOutputStream().flush()
  42.     }
  43. }
  45. fun launchClientSocket() {
  46.     // load trust manager from trust store
  47.     val trustManagerFactory = TrustManagerFactory.getInstance("SunX509")
  48.     val trustStore = KeyStore.getInstance("JKS")
  49.     trustStore.load(FileInputStream(clientKeyStore), passphrase.toCharArray())
  50.     trustManagerFactory.init(trustStore)
  51.     val trustManagers = trustManagerFactory.trustManagers
  52.     // init ssl context
  53.     val context = SSLContext.getInstance("TLS")
  54.     context.init(null, trustManagers, null)
  55.     // create client socket and auto connect
  56.     val sslSocketFactory = context.socketFactory
  57.     val socket = sslSocketFactory.createSocket("localhost", serverPort) as SSLSocket
  58.     // communication with server
  59.     val buffer = ByteArray(1024)
  60.     while (true) {
  61.         val len = socket.getInputStream().read(buffer)
  62.         if (len > 0) {
  63.             val message = String(buffer, 0, len)
  64.             println("Client Received: $message")
  65.         }
  66.     }
  67. }
复制代码
使用带SSL的HttpServer

大多网络编程框架,都是默认支持Https协议的,但仅限于由CA机构颁发的可信任证书
对于人工签发,未经CA机构授权的自署名证书,必须由开辟者自己去实现验证逻辑
  1. import com.sun.net.httpserver.HttpsConfigurator
  2. import com.sun.net.httpserver.HttpsServer
  3. import java.io.*
  4. import java.net.InetSocketAddress
  5. import java.net.URI
  6. import java.net.http.HttpClient
  7. import java.net.http.HttpRequest
  8. import java.net.http.HttpResponse
  9. import java.security.KeyStore
  10. import java.util.*
  11. import javax.net.ssl.KeyManagerFactory
  12. import javax.net.ssl.SSLContext
  13. import javax.net.ssl.TrustManagerFactory
  15. const val serverKeyStore = "resources/private.keystore"
  16. const val clientKeyStore = "resources/public.truststore"
  17. const val passphrase = "123456"
  19. const val serverPort = 18001
  21. fun main() {
  22.     Thread(::launchHttpServer).start()
  23.     Thread.sleep(1500)
  24.     Thread(::launchHttpClient).start()
  25. }
  27. fun launchHttpServer() {
  28.     // load key manager from key store
  29.     val keyManagerFactory = KeyManagerFactory.getInstance("SunX509")
  30.     val keyStore = KeyStore.getInstance("JKS")
  31.     keyStore.load(FileInputStream(serverKeyStore), passphrase.toCharArray())
  32.     keyManagerFactory.init(keyStore, passphrase.toCharArray())
  33.     val keyManagers = keyManagerFactory.keyManagers
  34.     // configure ssl context
  35.     val context = SSLContext.getInstance("TLS")
  36.     context.init(keyManagers, null, null)
  37.     // create https server
  38.     val server = HttpsServer.create(InetSocketAddress(serverPort), 10)
  39.     // configure https
  40.     val configurator = HttpsConfigurator(context)
  41.     server.httpsConfigurator = configurator
  42.     // create service
  43.     server.createContext("/home") { exchange ->
  44.         val response = Date().toString().encodeToByteArray()
  45.         exchange.sendResponseHeaders(200, response.size.toLong())
  46.         exchange.responseBody.write(response)
  47.         exchange.responseBody.close()
  48.     }
  49.     // start https server
  50.     server.start()
  51. }
  53. fun launchHttpClient() {
  54.     // load trust manager from trust store
  55.     val trustManagerFactory = TrustManagerFactory.getInstance("SunX509")
  56.     val trustStore = KeyStore.getInstance("JKS")
  57.     trustStore.load(FileInputStream(clientKeyStore), passphrase.toCharArray())
  58.     trustManagerFactory.init(trustStore)
  59.     val trustManagers = trustManagerFactory.trustManagers
  60.     // init ssl context
  61.     val context = SSLContext.getInstance("TLS")
  62.     context.init(null, trustManagers, null)
  63.     // create http client
  64.     val uri = URI.create("https://localhost:18001/home")
  65.     val client = HttpClient.newBuilder()
  66.         .version(HttpClient.Version.HTTP_1_1)
  67.         .sslContext(context)
  68.         .build()
  69.     // send request
  70.     val request = HttpRequest.newBuilder()
  71.         .GET()
  72.         .uri(uri)
  73.         .build()
  74.     // get response
  75.     val response = client.send(request, HttpResponse.BodyHandlers.ofString())
  76.     println(response.body())
  77. }
复制代码
使用带SSL的WebSocket

这里我们使用比力出名的Java-WebSocket库来实现WebSocket服务端和客户端功能
  1. api("org.java-websocket:Java-WebSocket:1.5.1")
复制代码
为WebSocketServer设置SSL
  1. fun setServerSSL(server: WebSocketServer) {
  2.     // load key manager from key store
  3.     val keyManagerFactory = KeyManagerFactory.getInstance("SunX509")
  4.     val keyStore = KeyStore.getInstance("JKS")
  5.     keyStore.load(FileInputStream(serverKeyStore), passphrase.toCharArray())
  6.     keyManagerFactory.init(keyStore, passphrase.toCharArray())
  7.     val keyManagers = keyManagerFactory.keyManagers
  8.     // configure ssl context
  9.     val context = SSLContext.getInstance("TLS")
  10.     context.init(keyManagers, null, null)
  11.     // configure server ssl
  12.     val websocketServerFactory = DefaultSSLWebSocketServerFactory(context)
  13.     server.setWebSocketFactory(websocketServerFactory)
  14. }
复制代码
为WebSocketClient设置SSL
  1. fun setClientSSL(client: WebSocketClient) {
  2.     // load trust manager from trust store
  3.     val trustManagerFactory = TrustManagerFactory.getInstance("SunX509")
  4.     val trustStore = KeyStore.getInstance("JKS")
  5.     trustStore.load(FileInputStream(clientKeyStore), passphrase.toCharArray())
  6.     trustManagerFactory.init(trustStore)
  7.     val trustManagers = trustManagerFactory.trustManagers
  8.     // configure ssl context
  9.     val context = SSLContext.getInstance("TLS")
  10.     context.init(null, trustManagers, null)
  11.     // configure client ssl
  12.     val sslSocketFactory = context.socketFactory
  13.     client.setSocketFactory(sslSocketFactory)
  14. }
复制代码
在OkHttp中自界说KeyManager和TrustManager

以上案例,都是通过KeyStore来实现KeyManager和TrustManager的管理功能
现在我们不用KeyStore,通过自界说规则,来实现秘钥管理和证书验证功能
我们以OkHttp框架为例
  1. import okhttp3.OkHttpClient
  2. import java.security.cert.X509Certificate
  3. import javax.net.ssl.HostnameVerifier
  4. import javax.net.ssl.SSLContext
  5. import javax.net.ssl.SSLSession
  6. import javax.net.ssl.X509TrustManager
  8. fun setOkHttpSSL(builder: OkHttpClient.Builder) {
  9.     val trustManager = object : X509TrustManager {
  10.         override fun checkClientTrusted(chain: Array<out X509Certificate>, authType: String) {}
  11.         override fun checkServerTrusted(chain: Array<out X509Certificate>, authType: String) {}
  12.         override fun getAcceptedIssuers(): Array<X509Certificate> = emptyArray()
  13.     }
  14.     val trustManagers = arrayOf(trustManager)
  15.     val hostnameVerifier = HostnameVerifier { hostname: String, session: SSLSession -> true }
  16.     val sslContext = SSLContext.getInstance("SSL")
  17.     sslContext.init(null, trustManagers, null)
  18.     val socketFactory = sslContext.socketFactory
  19.     builder.sslSocketFactory(socketFactory, trustManager)
  20.     builder.hostnameVerifier(hostnameVerifier)
  21. }
复制代码
现在我们用OkHttp来更换上面的HttpClient来访问服务器
  1. fun launchHttpClient() {
  2.     val url = "https://localhost:18001/home"
  3.     // create okhttp client
  4.     val builder = OkHttpClient.Builder()
  5.     setOkHttpSSL(builder)
  6.     val client = builder.build()
  7.     // create request
  8.     val request = Request.Builder()
  9.         .url(url)
  10.         .get()
  11.         .build()
  12.     // execute call
  13.     val call = client.newCall(request)
  14.     val response = call.execute()
  15.     // print response
  16.     val responseBody = response.body.string()
  17.     println(responseBody)
  18. }
复制代码
这里我们为了演示,不让问题复杂化,只是简单地信任了全部的证书,并不能起到现实的安全作用
关于KeyManager,TrustManager,HostnameVerifier的正式用法,可以参考以下类的源码
SunX509KeyManagerImpl X509TrustManagerImpl OkHostnameVerifier
SSL证书格式



  • JKS,二进制格式存储,Java专属格式
    一样平常为私钥+证书+暗码,或只有公钥的组合
    常用于Tomcat服务器
  • PEM,文本格式存储
    可保存私钥和证书,一样平常以BEGIN开头,END结尾,中间为BASE64编码字符串
    常用于Apache或Nginx服务器
  • CER/DER,二进制格式存储
    只能保存证书
    常用于Windows服务器
  • CRT,只是一个后缀名,可以是PEM编码,也可以是CER编码
    一样平常只用来保存证书,不存储私钥
    可以将私钥单独保存,以KEY作为后缀,来区分秘钥文件和证书文件
    KEY文件可以是PEM编码,也可以是CER编码
  • P12/PKCS12/PFX,二进制格式存储
    一样平常同时包含私钥和证书,有暗码保护
    常用于Windows IIS服务器
  • CSR,证书哀求文件
    这个不是证书,而是通过私钥向CA申请公钥的哀求文件
  • 最后,要留意的是,文件后缀和证书格式之间没有必然关系,照旧以文件内容的现实存储格式为准
SSL证书转换工具



  • OpenSSL
  • KeyTool
  • KeyStore Explorer
OpenSSL指令



  • genrsa,生成秘钥
  • req,创建自署名根证书,或生成证书哀求文件
  • x509,查看,创建,或转换证书
  • -in,输入文件
  • -out,输出文件
  • -inform,输入文件格式
  • -outform,输出文件格式
  • -CA,指定根证书
  • -CAkey,指定根证书私钥
  • -CAserial,指定CA证书
  • -CAcreateserial,创建下级CA证书
OpenSSL制作证书

  1. # 创建根证书
  2. openssl req -new -x509 -days 365 -extensions v3_ca -keyout crt/ca.key -out crt/ca.crt
  4. # 颁发服务端证书
  5. openssl genrsa -out crt/server.key 2048
  6. openssl req -out crt/server.csr -key crt/server.key -new
  7. openssl x509 -req -in crt/server.csr -CA crt/ca.crt -CAkey crt/ca.key -CAcreateserial -out crt/server.crt -days 365
  9. # 颁发客户端证书
  10. openssl genrsa -out crt/client.key 2048
  11. openssl req -out crt/client.csr -key crt/client.key -new
  12. openssl x509 -req -in crt/client.csr -CA crt/ca.crt -CAkey crt/ca.key -CAcreateserial -out crt/client.crt -days 365
  14. # 查看服务端证书
  15. openssl x509 -in crt/server.crt -text -noout
复制代码
End

到此为止,基本涵盖了Java SSL的全部核心内容,已经足以满足各人日常开辟需要
更高阶的用法,大概在专业的范畴才气用得到,希望各人遇到时,能勇于自己去研究!

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

莫张周刘王

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

存储 挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表