双向验证即: 客户端与服务端在进行数据传输的时候双方都需要验证对方的身份。
在建立 Https 连接的工程中,握手的流程比单向认证多了几步。
-
单向认证的过程
客户端从服务器端下载服务器公钥证书进行验证,然后才建立安全通信通道
-
双向认证的过程
客户端出了需要从服务器端下葬服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器给服务器端进行验证,等双方认证都认证通过之后,才会开始进行安全通信通道
1.1 单向认证流程
单向认证流程中,服务器端保存着公钥证书和私钥两个文件,整个握手过程如下:
-
客户端发青建立 HTTPS 连接请求,将 SSL 版本协议的信息发送给服务器端
-
服务器端将本机的公钥证书 ( server.crt ) 发送给客户端
-
客户端读取公钥证书 ( server.crt ) , 获取服务器端的公钥
-
客户端生成一个随机数(密钥R),用刚才得到的服务器公钥去加密这个随机数形成密文,发送给服务端;
-
服务端用自己的私钥(server.key)去解密这个密文,得到了密钥R
-
服务端和客户端在后续通讯过程中就使用这个密钥R进行通信了。
1.2 双向认证流程
-
客户端发起建立HTTPS连接请求,将SSL协议版本的信息发送给服务端;
-
服务器端将本机的公钥证书(server.crt)发送给客户端;
-
客户端读取公钥证书(server.crt),取出了服务端公钥;
-
客户端将客户端公钥证书(client.crt)发送给服务器端;
-
服务器端使用根证书(root.crt)解密客户端公钥证书,拿到客户端公钥;
-
客户端发送自己支持的加密方案给服务器端;
-
服务器端根据自己和客户端的能力,选择一个双方都能接受的加密方案,使用客户端的公钥加密后发送给客户端;
-
客户端使用自己的私钥解密加密方案,生成一个随机数R,使用服务器公钥加密后传给服务器端;
-
服务端用自己的私钥去解密这个密文,得到了密钥R
-
服务端和客户端在后续通讯过程中就使用这个密钥R进行通信了。
2. cert 、 key 和 pem 文件区别
推荐阅读:https://blog.csdn.net/justinjing0612/article/details/7770301
我们当前获取有3个文件,分别是
-
ca-server.cert.pem
我们请求到的服务器给颁布的公钥
-
vendor.my.cert.pem
我们本地发送客户端的公钥 ( 需要发送到服务器端)
-
vendor.my.key.pem
我们本地客户端的密钥
我们可以转换为我们自己想要的格式
所有的 key 密码推荐使用 changeit 默认值
先将 pem 转换为jks ,因为没有密钥,所以转换为 JKS 作为 trustStore 使用
keytool -import -noprompt -file ca-server.cert.pem -keystore ca-server.jks -storepass changeit
而且我们仍要携带客户端的 vendor.my.cert.pem 推送给服务器,而 Java 客户端无法处理 pem文件,需要将其转换为 .der 文件或者 p12 文件。
可以通过如下指令
openssl pkcs12 -export -clcerts -in vendor.yundun.cert.pem -inkey vendor.yundun.key.pem -out vendor.yundun.p12
也可以将 pkcs12 转换为 JKS 不推荐
keytool -importkeystore -srckeystore vendor.my.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore vendor.my.jks
Java 官方也不建议将 PKCS12 转换为 JKS
正在将密钥库 vendor.my.p12 导入到 vendor.my.jks... 输入目标密钥库口令: 输入源密钥库口令: 已成功导入别名 1 的条目。 已完成导入命令: 1 个条目成功导入, 0 个条目失败或取消
Warning: JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore vendor.my.jks -destkeystore vendor.my.jks -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。
3 基于 JAVA 实现 HTTPS 双向绑定请求
3.1 基于内部代码实现
3.1.1 证书在 Jar 外部
使用 Java 代码实现 Https 双向绑定请求
private final static String CLIENT_PFX_PATH = "/{your_path}/vendor.my.p12"; //客户端证书路径 private final static String CLIENT_PFX_PWD = "password"; //客户端证书密码 private final static String SERVER_PFX_PATH = "/{your_path}/ca-server.jks"; //服务器端证书路径 private final static String SERVER_PFX_PWD = "password"; // 服务器端证书密码 public static void sslRequestGet(String url) throws Exception { CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(getSSLFactory()).build(); try { HttpGet httpget = new HttpGet(url); CloseableHttpResponse response = httpclient.execute(httpget); try { HttpEntity entity = response.getEntity(); String jsonStr = EntityUtils.toString(response.getEntity(), "UTF-8");//返回结果 EntityUtils.consume(entity); System.out.println(jsonStr); } finally { response.close(); } } finally { httpclient.close(); } } public static SSLConnectionSocketFactory getSSLFactory() throws Exception{ // 此时需要查看对应的文件格式,如果公钥密钥都存在,建议使用 PKCS12 标准格式 // 如果只存在公钥,建议使用 JAVA 支持的 JKS 格式 ( PKCS12 必须要求公密钥) // 转换 command 在 #2 KeyStore serverKeyStore = KeyStore.getInstance("jks"); KeyStore clientKeyStore = KeyStore.getInstance("PKCS12"); try (InputStream clientStream = new FileInputStream(CLIENT_PFX_PATH); InputStream serverStream = new FileInputStream(SERVER_PFX_PATH)){ clientKeyStore.load(clientStream, CLIENT_PFX_PWD.toCharArray()); serverKeyStore.load(serverStream, SERVER_PFX_PWD.toCharArray()); } KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); kmf.init(clientKeyStore, CLIENT_PFX_PWD.toCharArray()); KeyManager[] keyManagers = kmf.getKeyManagers(); TrustManagerFactory tmf = TrustManagerFactory.getInstance( TrustManagerFactory.getDefaultAlgorithm()); tmf.init(serverKeyStore); TrustManager[] trustManagers = tmf.getTrustManagers(); SSLContext sslcontext = SSLContext.getInstance("TLS"); sslcontext.init(keyManagers, trustManagers, new java.security.SecureRandom()); SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslcontext , new String[]{"TLSv1"} // supportedProtocols ,这里可以按需要设置 , null // supportedCipherSuites , SSLConnectionSocketFactory.getDefaultHostnameVerifier()); return sslsf; }
基于纯内部代码实现, 其中各个公密钥的 Path 推荐放置在打包好的 Jar 文件外部
3.1.2 证书在 Jar 内部
这样可以将证书打包在 Jar 内部,更好在 K8S 或者 CICD 中部署继承。
java 代码
private final static String CLIENT_PFX_PATH = "/{your_path}/vendor.my.p12"; //客户端证书路径 private final static String CLIENT_PFX_PWD = "password"; //客户端证书密码 private final static String SERVER_PFX_PATH = "/{your_path}/ca-server.jks"; //服务器端证书路径 private final static String SERVER_PFX_PWD = "password"; // 服务器端证书密码 public static void sslRequestGet(String url) throws Exception { CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(getSSLFactory()).build(); try { HttpGet httpget = new HttpGet(url); CloseableHttpResponse response = httpclient.execute(httpget); try { HttpEntity entity = response.getEntity(); String jsonStr = EntityUtils.toString(response.getEntity(), "UTF-8");//返回结果 EntityUtils.consume(entity); System.out.println(jsonStr); } finally { response.close(); } } finally { httpclient.close(); } } public static SSLConnectionSocketFactory getSSLFactory() throws Exception{ // 此时需要查看对应的文件格式,如果公钥密钥都存在,建议使用 PKCS12 标准格式 // 如果只存在公钥,建议使用 JAVA 支持的 JKS 格式 ( PKCS12 必须要求公密钥) // 转换 command 在 #2 KeyStore serverKeyStore = KeyStore.getInstance(SERVER_PFX_TYPE); KeyStore clientKeyStore = KeyStore.getInstance(CLIENT_PFX_TYPE); try (InputStream clientStream = getClass().getClassLoader().getResourceAsStream(CLIENT_PFX_PATH); InputStream serverStream = getClass().getClassLoader().getResourceAsStream(SERVER_PFX_PATH)) { clientKeyStore.load(clientStream, CLIENT_PFX_PWD.toCharArray()); serverKeyStore.load(serverStream, SERVER_PFX_PWD.toCharArray()); } KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); kmf.init(clientKeyStore, CLIENT_PFX_PWD.toCharArray()); KeyManager[] keyManagers = kmf.getKeyManagers(); TrustManagerFactory tmf = TrustManagerFactory.getInstance( TrustManagerFactory.getDefaultAlgorithm()); tmf.init(serverKeyStore); TrustManager[] trustManagers = tmf.getTrustManagers(); SSLContext sslcontext = SSLContext.getInstance("TLS"); sslcontext.init(keyManagers, trustManagers, new java.security.SecureRandom()); · SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslcontext , new String[]{"TLSv1"} // supportedProtocols ,这里可以按需要设置 , null // supportedCipherSuites , SSLConnectionSocketFactory.getDefaultHostnameVerifier()); return sslsf; }
需要在 resources/httpsKeys 文件夹下存放相对应的文件
3.2 使用命令行指定文件
Java代码为:
public static void request(String url) { CloseableHttpClient httpClient = HttpClients.custom().setSSLSocketFactory(SSLConnectionSocketFactory.getSystemSocketFactory()).build(); HttpGet get = new HttpGet(url); System.out.println("trying to execute request"); try (CloseableHttpResponse response = httpClient.execute(get)) { HttpEntity entity = response.getEntity(); System.out.println(response.getStatusLine().getStatusCode()); String s = EntityUtils.toString(entity); System.out.println(s); System.out.println("finished request"); } catch (IOException e) { e.printStackTrace(); } }
java -Djavax.net.ssl.keyStore=./vendor.my.p12 -Djavax.net.ssl.keyStorePassword=changeit -Djavax.net.ssl.keyStoreType=PKCS12 -Djavax.net.ssl.trustStore=./ca-server.jks -Djavax.net.ssl.trustStorePassword=changeit -jar https_test.jar
其中只需要指定好各个文件的位置、密码以及类型,即可通过 SSLConnectionSocketFactory.getSystemSocketFactory() 实现
3.3 在 JVM LIB 中添加密钥
我们可以直接在 Java 中导入 ca-chain.cert.pem ,服务器的公钥,通过如下命令
不推荐
sudo keytool -import -alias log-collect-jh.bs58i.baishancdnx.com -keystore cmycerts -file /{your_path}/ca-server.cert.pem
使用方法同 #3.2