客户端-服务器与java socketSSL的通信。真正需要什么证书
您好,我正在处理一个java项目,其中一个客户端和一个服务器使用SSL套接字,客户端身份验证设置为true。我让一切正常,但我想确定每一方的JK中应该包含什么 客户: 1.客户端私钥.pem和公钥证书.pem。 2.中间CA公钥证书.pem 服务器: 1.服务器private keykey.pem和public keycert.pem。 2.中间CA公钥证书.pem 我读了很多关于证书的书,但我真的不明白什么是真正需要的证书 问题: 1.我读到客户端应该只包含rootCA和他的证书,服务器应该包含所有的链和他的证书。这是正确的处理方法吗? 2.我还了解到服务器应该有两个jk,一个带有证书,另一个带有信任链。我真的不知道每个应该包含什么。 3.仅当服务器和客户端具有javax.net.ssl.keyStore和javax.net.ssl.trustStore时,代码才起作用。如果我移除其中一个,它们就会停止工作,为什么?据我所知,客户机应该只能与trustStore一起工作 我知道互联网上有很多信息,我花了一个星期的时间阅读,但我仍然不能真正理解这一点。即使代码有效,我也很想知道它为什么有效以及正确的方法是什么 我从以下网站的教程中创建了一个批: 我正在使用一个辅助项目来测试ssl套接字连接。这就是我正在使用的: 客户MWE: 我想确定每一方的JK中应该包含哪些内容 首先,对于相互认证的SSL,每一方都需要两个JKS文件:一个密钥库和一个信任库。不要混淆这些文件,或者混淆它们的用途,或者使用一个文件来实现这两个目的 在每种情况下,密钥库都包含该方自己的私钥和证书,以及签名证书链,直至对等方信任的任何根CA客户端-服务器与java socketSSL的通信。真正需要什么证书,java,ssl,x509certificate,jks,jsse,Java,Ssl,X509certificate,Jks,Jsse,您好,我正在处理一个java项目,其中一个客户端和一个服务器使用SSL套接字,客户端身份验证设置为true。我让一切正常,但我想确定每一方的JK中应该包含什么 客户: 1.客户端私钥.pem和公钥证书.pem。 2.中间CA公钥证书.pem 服务器: 1.服务器private keykey.pem和public keycert.pem。 2.中间CA公钥证书.pem 我读了很多关于证书的书,但我真的不明白什么是真正需要的证书 问题: 1.我读到客户端应该只包含rootCA和他的证书,服务器应该包
每种情况下的信任库都包含该方信任的根CA。如果对等方出于某种不幸的原因使用自签名证书,这相当于需要在该方的信任库中导出该证书的副本。好的,我理解,仍然有一些问题:各方是否可以拥有不同的CA?证书链的确切含义是未包含在自己的证书中的内容。O为什么只使用中间CA而不使用根CA?是的,每一方都可以有不同的CA,通常双方的信任库都是JRE附带的信任库,JRE包含许多根CA证书。信任库必须包含已接收证书链中的证书。通常这是根,但在某些情况下可能是中间根。证书链是CA在签名时提供的证书链,从他刚签名的证书开始,通过他的所有内部证书引导到他自己的根CA证书,或者甚至更高的证书。非常感谢,因此您是否建议添加根证书和中间证书,或者我可以只使用中间产物吗?我读到只分享中间品更安全。再次感谢您快速清晰的回答,谢谢。证书不是秘密。仅共享中间证书肯定没有什么“更安全”的了。
package com.test.ssl;
import java.io.DataInputStream;
import java.io.DataOutputStream;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import javax.net.ssl.SSLSocket;
import javax.net.ssl.SSLSocketFactory;
public class Client {
private static final String IP = "127.0.0.1";
private static final int PORT = 15000;
private static DataOutputStream os;
private static DataInputStream is;
private static final byte messageEnd = 0;
public static void main(String[] args) {
System.setProperty("javax.net.ssl.keyStore", "D:\\workspace\\Client_Server_SSL\\clientKeyStore.jks");
System.setProperty("javax.net.ssl.keyStorePassword", "CertPass");
System.setProperty("javax.net.ssl.trustStore", "D:\\workspace\\Client_Server_SSL\\clientKeyStore.jks");
System.setProperty("javax.net.ssl.trustStorePassword", "CertPass");
SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory.getDefault();
try {
SSLSocket sslsocket = (SSLSocket) factory.createSocket(IP, PORT);
sslsocket.setNeedClientAuth(true);
is = new DataInputStream(sslsocket.getInputStream());
System.out.println("Loading output streams");
os = new DataOutputStream(sslsocket.getOutputStream());
System.out.println("Streams loaded");
os.write("Hi\0".getBytes());
byte character;
List<Byte> message = new ArrayList<>();
while ((character = is.readByte()) != messageEnd) {
message.add(character);
}
byte[] messageBytes = byteListToByteArray(message);
String response = new String(messageBytes);
System.out.println("Server response: " + response);
} catch (IOException e) {
e.printStackTrace();
}
}
public static byte[] byteListToByteArray(List<Byte> bytes) {
byte[] result = new byte[bytes.size()];
for (int i = 0; i < bytes.size(); i++) {
result[i] = bytes.get(i).byteValue();
}
return result;
}
}
package com.test.ssl;
import java.io.DataInputStream;
import java.io.DataOutputStream;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import javax.net.ssl.SSLServerSocket;
import javax.net.ssl.SSLServerSocketFactory;
import javax.net.ssl.SSLSocket;
public class Server {
private static boolean serverListening = true;
private static SSLServerSocket sslserversocket;
private static final int PORT = 15000;
private static DataInputStream is;
private static DataOutputStream os;
public static void main(String[] args) {
System.setProperty("javax.net.ssl.keyStore", "D:\\workspace\\Client_Server_SSL\\serverKeyStore.jks");
System.setProperty("javax.net.ssl.keyStorePassword", "CertPass");
System.setProperty("javax.net.ssl.trustStore", "D:\\workspace\\Client_Server_SSL\\serverKeyStore.jks");
System.setProperty("javax.net.ssl.trustStorePassword", "CertPass");
SSLServerSocketFactory factory = (SSLServerSocketFactory) SSLServerSocketFactory.getDefault();
try {
sslserversocket = (SSLServerSocket) factory.createServerSocket(PORT);
sslserversocket.setNeedClientAuth(true);
while (serverListening) {
System.out.println("Waiting for client");
// Accept return a new socket to handle the client.
SSLSocket sslsocket = (SSLSocket) sslserversocket.accept();
is = new DataInputStream(sslsocket.getInputStream());
os = new DataOutputStream(sslsocket.getOutputStream());
System.out.println("Client connected");
List<Byte> message = new ArrayList<>();
byte character;
while ((character = is.readByte()) != 0) {
message.add(character);
}
byte[] messageBytes = byteListToByteArray(message);
String response = new String(messageBytes);
System.out.println("Client sad: " + response);
os.write("Welcome\0".getBytes());
}
} catch (IOException e) {
System.err.println("Exception: " + e);
}
}
public static byte[] byteListToByteArray(List<Byte> bytes) {
byte[] result = new byte[bytes.size()];
for (int i = 0; i < bytes.size(); i++) {
result[i] = bytes.get(i).byteValue();
}
return result;
}
}
@echo on
cd /D %~dp0
REM could not create all subfolder at onces, I got a syntax error when trying root\ca\{certs,crl,newcerts,private}
mkdir root\ca\certs
mkdir root\ca\crl
mkdir root\ca\newcerts
mkdir root\ca\private
type NUL > root\ca\index.txt
echo 1000 > root\ca\serial
REM tried to use type but it was not working.
copy "%~dp0ConfigurationFiles\openssl_ca_test.cnf" root\ca\openssl.cnf
@echo ______________Creating CA
openssl genrsa -aes256 -out root/ca/private/ca.key.pem -passout pass:CAPassword 4096
openssl req -config root/ca/openssl.cnf -key root/ca/private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out root/ca/certs/ca.cert.pem -passin pass:CAPassword
openssl x509 -noout -text -in root/ca/certs/ca.cert.pem
@echo ______________INTERMEDIATE CERTIFICATES
mkdir root\ca\intermediate\certs
mkdir root\ca\intermediate\crl
mkdir root\ca\intermediate\newcerts
mkdir root\ca\intermediate\private
mkdir root\ca\intermediate\csr
type NUL > root\ca\intermediate\index.txt
echo 1000 > root\ca\intermediate\serial
echo 1000 > root\ca\intermediate\crlnumber
copy "%~dp0ConfigurationFiles\openss_intermediate_test.cnf" root\ca\intermediate\openssl.cnf
openssl genrsa -aes256 -out root/ca/intermediate/private/intermediate.key.pem -passout pass:InterMPassword 4096
openssl req -config root/ca/intermediate/openssl.cnf -new -sha256 -key root/ca/intermediate/private/intermediate.key.pem -out root/ca/intermediate/csr/intermediate.csr.pem -passin pass:InterMPassword
openssl ca -config root/ca/openssl.cnf -extensions v3_intermediate_ca -days 3650 -notext -md sha256 -in root/ca/intermediate/csr/intermediate.csr.pem -out root/ca/intermediate/certs/intermediate.cert.pem -passin pass:CAPassword
type root\ca\intermediate\certs\intermediate.cert.pem root\ca\certs\ca.cert.pem > root\ca\intermediate\certs\ca-chain.cert.pem
@echo ______________GENERATING CERTIFICATES
openssl genrsa -aes256 -out root/ca/intermediate/private/www.client.com.key.pem -passout pass:CertPass 2048
openssl genrsa -aes256 -out root/ca/intermediate/private/www.server.com.key.pem -passout pass:CertPass 2048
openssl req -config root/ca/intermediate/openssl.cnf -key root/ca/intermediate/private/www.client.com.key.pem -new -sha256 -out root/ca/intermediate/csr/www.client.com.csr.pem -passin pass:CertPass
openssl req -config root/ca/intermediate/openssl.cnf -key root/ca/intermediate/private/www.server.com.key.pem -new -sha256 -out root/ca/intermediate/csr/www.server.com.csr.pem -passin pass:CertPass
@echo ______________SIGNING CERTIFICATES
openssl ca -config root/ca/intermediate/openssl.cnf -extensions usr_cert -days 7000 -notext -md sha256 -in root/ca/intermediate/csr/www.client.com.csr.pem -out root/ca/intermediate/certs/www.client.com.cert.pem -passin pass:InterMPassword
openssl ca -config root/ca/intermediate/openssl.cnf -extensions server_cert -days 7000 -notext -md sha256 -in root/ca/intermediate/csr/www.server.com.csr.pem -out root/ca/intermediate/certs/www.server.com.cert.pem -passin pass:InterMPassword
@echo ______________DONE
PAUSE