我看了幾篇微博，有的非常詳實，作為深入學習資料非常好。

但是有的說是例項吧...無關測試程式碼太多，感覺就是畫蛇添足。各種祕鑰庫管理感覺都是非必要的。

索性自己寫一個。順便記錄一些常見的異常，如：

Cannot recover key
certificate_unknown
signature check failed
java.net.SocketException: Connection reset
Received fatal alert: handshake_failure

---------------------

>基礎知識（有興趣深入瞭解機制可見此）

簡單看一下有關SSL的類的關係：

通訊過程、加密原理和深入學習看此：

---------------------

>開始例項

首先，你要知道普通的Socket是怎麼建立的，如果你不瞭解這一項，見此：

1.客戶端的搭建

與常見的Socket搭建沒有什麼差別，唯一不同的是——sslsocket是從工廠類中獲取的，如下：

//1.獲取SSLSocketFactory物件
SocketFactory factory = SSLSocketFactory.getDefault();
//2.從工廠類中獲取sslsocket並提供伺服器ip和埠引數
Socket sslsocket = factory.createSocket("127.0.0.1", 9100);
//3.獲取輸出流，幷包裝成UTF-8編碼的快取位元組流(注意包裝成UTF8，否則會中文亂碼)
BufferedWriter out = new BufferedWriter(new OutputStreamWriter(sslsocket.getOutputStream(),"UTF-8")); 
//4.開始輸出文字等
out.write("This is message：你好"+"\n");//這裡一定要加一個換行符，理由見下文
out.flush();
 

2.伺服器的搭建

//1.獲取工廠類
ServerSocketFactory factory =  SSLServerSocketFactory.getDefault();
//2.從工廠類中獲取相應的sslserversocket
SSLServerSocket serverSocket=(SSLServerSocket) factory.createServerSocket(9100); 
//3.要求客戶端進行ssl認證
serverSocket.setNeedClientAuth(true); 
//4.等待客戶端連線
Socket socket =serverSocket.accept();
//5.獲取輸入流，幷包裝成...
BufferedReader in=new BufferedReader(new InputStreamReader(socket.getInputStream(),"UTF-8"));
//6.輸出客戶端發來的資訊
System.out.println("Server Log:"+in.readLine())
 

3.祕鑰的建立及SSL環境的搭建

在windows環境一下，按win+R開啟cmd控制檯。
進入你java JDK的碟符，如輸入[ d: ]以進入d盤
輸入[cd+路徑]，進入jdk目錄下的bin資料夾，注意轉義字元\\和/的使用，如：

cd jdk1.8/bin

接下來，我們要為客戶端和伺服器利用該目錄下的keytool工具生成祕鑰庫，用以ssl認證時進行握手動作。

在cmd中如輸入以下六行命令：

//1.建立伺服器祕鑰庫server_ks.jks，此處我給的密碼為server（注意這裡-storepass server和-keypass server要一致，否則會報出異常Cannot recover key）
keytool -genkey -keystore ./server_ks.jks -storepass server -keyalg RSA -keypass server
//2.建立客戶端祕鑰庫client_ks.jks，此處我給的密碼為client(密碼一致性同上)
keytool -genkey -keystore ./client_ks.jks -storepass client -keyalg RSA -keypass client
//3.把伺服器祕鑰庫server_ks.jks裡的證書匯出為server.cer
keytool -export -keystore ./server_ks.jks -storepass server -file ./server.cer
//4.把客戶端祕鑰庫client_ks.jks裡的證書匯出為client.cer
keytool -export -keystore ./client_ks.jks -storepass client -file ./client.cer
//5.把server.cer匯入伺服器信任祕鑰庫clientTrust_ks.jks，放於客戶端告訴客戶端哪些伺服器是可以信任的
keytool -import -keystore ./serverTrust_ks.jks -storepass client -file ./server.cer
//6.把client.cer匯入客戶端信任祕鑰庫serverTrust_ks.jks，...
keytool -import -keystore ./clientTrust_ks.jks -storepass server -file ./client.cer

邏輯圖如下:

4.為客戶端設定祕鑰庫和信任祕鑰庫：

System.setProperty("javax.net.ssl.keyStore", keystorePath);  
System.setProperty("javax.net.ssl.keyStorePassword", keystorePassword);  
System.setProperty("javax.net.ssl.trustStore", trustKeystorePath);  
System.setProperty("javax.net.ssl.trustStorePassword",keystorePassword);

其中，如果沒有密碼，就不用填寫相應的字串。建議結合完整例項程式碼來理解上面四個步驟：

-------------------------------

>完整例項程式碼

1.客戶端

public class ClientSSLTest {
	
    static String keystorePath = "你的路徑/client_ks.jks";
    static String trustKeystorePath = "你的路徑/serverTrust_ks.jks";
    static String keystorePassword = "client";
    public static void main(String args[]) throws Exception{
	//System.setProperty("javax.net.debug", "ssl,handshake");  
        System.setProperty("javax.net.ssl.keyStore", keystorePath);  
        System.setProperty("javax.net.ssl.keyStorePassword", keystorePassword);  
        System.setProperty("javax.net.ssl.trustStore", trustKeystorePath);  
        System.setProperty("javax.net.ssl.trustStorePassword",keystorePassword);  
        
	SocketFactory factory = SSLSocketFactory.getDefault();  
	Socket sslsocket = factory.createSocket("127.0.0.1", 9100);  
	System.out.println("Client Connected");
        BufferedWriter out = new BufferedWriter(new OutputStreamWriter(sslsocket.getOutputStream(),"UTF-8"));  
        
        out.write("This is message：你好"+"\n");
        out.flush();
        System.out.println("Msg Sent");
        sslsocket.close();
    }
}

2.伺服器

public class ServerSSLTest {
    static String keystorePath = "你的路徑/server_ks.jks";
    static String trustKeystorePath = "你的路徑/clientTrust_ks.jks";
    static String keystorePassword = "server";
    public static void main(String args[]) throws Exception{
	//System.setProperty("javax.net.debug", "ssl,handshake");  
        System.setProperty("javax.net.ssl.keyStore", keystorePath);  
        System.setProperty("javax.net.ssl.keyStorePassword", keystorePassword);  
        System.setProperty("javax.net.ssl.trustStore", trustKeystorePath);  
        System.setProperty("javax.net.ssl.trustStorePassword",keystorePassword);  
		
	ServerSocketFactory factory =  SSLServerSocketFactory.getDefault();
	SSLServerSocket serverSocket=(SSLServerSocket) factory.createServerSocket(9100); 
	serverSocket.setNeedClientAuth(true); 
	System.out.println("Server Open");
	Socket socket =serverSocket.accept();
	BufferedReader in=new BufferedReader(new InputStreamReader(socket.getInputStream(),"UTF-8"));
	System.out.println("Server Log:"+in.readLine());
    }
}

伺服器輸出：

>常見異常

1.Cannot recover key

原因及解決方法：

建立祕鑰庫時祕鑰庫主密碼和第二密碼不同，詳見用keytool建立祕鑰庫時6行命令裡的第一二行

2.certificate_unknown

原因及解決方法：

伺服器或客戶端未持有相應的證書，一般是由於信任祕鑰庫和祕鑰庫證書匯入及存放時的邏輯混亂造成的，建議參考邏輯圖輸命令。

3.no cipher suites in common

原因及解決方法：

沒有匯入證書，請重新確認上方keytool的使用是否正確，並結合完整例項程式碼進行邏輯確認。通知別忘了檢查密碼是否正確、祕鑰庫的路徑是否正確。

4.Received fatal alert: handshake_failure

在嘗試過很多方法，但依舊錯誤的話...

原因及解決方法：

有可能是因為JDK版本的原因，你需要下載官方替換包：

替換jdk\jre\lib\security下的那兩個檔案。

5.signature check failed

解決方法：嘗試把匯出的兩個證書(.cer)拷貝放到jdk\jre\lib\security檔案下

6.Connection reset

socket中的流已斷開，建議嘗試flush或檢查是否有免檢異常、close方法。