2. 程式人生 > >netty中實現雙向認證的SSL連線

netty中實現雙向認證的SSL連線

阿新 發佈:2019-01-27
2. 建立SSL通訊的client和server

由於netty 5現在只有alpha版本,因此保險起見使用4.0.24.final版本的netty。 
netty的SSLContext提供了newClientContext來為client建立ssl context,但檢視其原始碼未發現能支援雙向認證,即client端的ssl context只接收一個trust store,而不能指定自己的證書以供server端校驗。仿照netty example下的securechat的ssl實現但做了修改 
首先建立一個能提供client和server的ssl context的工具類,分別載入server和client的key store和trust store裡面的證書

public class SslContextFactory
{
        private static final String     PROTOCOL    = "TLS";    // TODO: which protocols will be adopted?
    private static final SSLContext SERVER_CONTEXT;
    private static final SSLContext CLIENT_CONTEXT;

    static
    {
        SSLContext serverContext = null;
        SSLContext clientContext = null;

        String keyStorePassword = "aerohive";
        try
        {
            KeyStore ks = KeyStore.getInstance("JKS");
            ks.load(SslContextFactory.class.getClassLoader().getResourceAsStream("cert\\server.keystore"), keyStorePassword.toCharArray());

            // Set up key manager factory to use our key store
            KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
            kmf.init(ks, keyStorePassword.toCharArray());

            // truststore
            KeyStore ts = KeyStore.getInstance("JKS");
            ts.load(SslContextFactory.class.getClassLoader().getResourceAsStream("cert\\servertruststore.keystore"), keyStorePassword.toCharArray());

            // set up trust manager factory to use our trust store
            TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            tmf.init(ts);

            // Initialize the SSLContext to work with our key managers.
            serverContext = SSLContext.getInstance(PROTOCOL);
            serverContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);

        } catch (Exception e)
        {
            throw new Error("Failed to initialize the server-side SSLContext", e);
        }

        try
        {
            // keystore
            KeyStore ks = KeyStore.getInstance("JKS");
            ks.load(SslContextFactory.class.getClassLoader().getResourceAsStream("cert\\client.keystore"), keyStorePassword.toCharArray());

            // Set up key manager factory to use our key store
            KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
            kmf.init(ks, keyStorePassword.toCharArray());

            // truststore
            KeyStore ts = KeyStore.getInstance("JKS");
            ts.load(SslContextFactory.class.getClassLoader().getResourceAsStream("cert\\clienttruststore.keystore"), keyStorePassword.toCharArray());

            // set up trust manager factory to use our trust store
            TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            tmf.init(ts);
            clientContext = SSLContext.getInstance(PROTOCOL);
            clientContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
        } catch (Exception e)
        {
            throw new Error("Failed to initialize the client-side SSLContext", e);
        }

        SERVER_CONTEXT = serverContext;
        CLIENT_CONTEXT = clientContext;
    }

    public static SSLContext getServerContext()
    {
        return SERVER_CONTEXT;
    }

    public static SSLContext getClientContext()
    {
        return CLIENT_CONTEXT;
    }
    ... ...
}

         io.netty.example.securechat.SecureChatClientInitializer類的構造器接收一個io.netty.handler.ssl.SslContext型別的物件,這個SslContext的物件最終被用來建立SslHandler,而上面factory產生的是javax.net.ssl.SSLContext的物件,因此可以做改動如下 

public class ClientInitializer extends ChannelInitializer 
{

private final javax.net.ssl.SSLContext  sslCtx;

public ClientInitializer(javax.net.ssl.SSLContext sslCtx)
{
    this.sslCtx = sslCtx;
}

@Override
public void initChannel(SocketChannel ch) throws Exception
{
    ChannelPipeline pipeline = ch.pipeline();

    SSLEngine sslEngine = sslCtx.createSSLEngine(Client.HOST, Client.PORT);
    sslEngine.setUseClientMode(true);
    pipeline.addLast(new SslHandler(sslEngine));

    // On top of the SSL handler, add the text line codec.
    pipeline.addLast(new DelimiterBasedFrameDecoder(8192, Delimiters.lineDelimiter()));
    pipeline.addLast(new StringDecoder());
    pipeline.addLast(new StringEncoder());

    // and then business logic.
    pipeline.addLast(new ClientHandler());
}
}


最後新增jvm引數 

-Djavax.net.debug=ssl,handshake

來檢視ssl握手過程控制檯的log

具體實現請參考附件原始碼。

相關推薦

netty實現雙向認證SSL連線

2. 建立SSL通訊的client和server 由於netty 5現在只有alpha版本,因此保險起見使用4.0.24.final版本的netty。  netty的SSLContext提供了newClientContext來為client建立ssl context,但檢視其原始碼未發現能支援雙向認證,即

vue實現雙向資料繫結原理,使用了Object.defineproperty()方法,方法簡單

在vue中雙向資料繫結原理,我們一般都是用v-model來實現的 ,但一般在面試話會問到其實現的原理, 方法比較簡單,就是利用了es5中的一個方法.Object.defineproperty(),它有三個引數, Object.defineproperty(obj,'val',attrObject), 引數

Netty實現MessagePack編解碼器以及解決粘包問題-參考netty權威指南2

首先maven需要增加依賴 <dependency> <groupId>io.netty</groupId> <artifactId>netty-all</artifactId>

雙向認證SSL原理

文中首先解釋了加密解密的一些基礎知識和概念,然後通過一個加密通訊過程的例子說明了加密演算法的作用,以及數字證書的出現所起的作用。接著對數字證書做一個詳細的解釋,並討論一下windows中數字證書的管理,最後演示使用makecert生成數字證書。如果發現文中有錯誤的地方,或者有什麼地方說得不夠清楚,歡迎指出!

【Docker】在IDEA實現一鍵部署到伺服器(附ssl連線加密)

近年來微服務可謂是火遍大江南北,隨著業務的拆分和高可用和叢集,服務變得越來越多,不再像原來的單體應用架構那樣,部署只需要執行一條nohup java -jar xx.jar &就可以完成部署,如果在微服務裡還是用這種方式完成部署的話那就太low太耗時間了,Dock

使用Httpclient實現SSL雙向認證

1、生成伺服器端證書 Java程式碼 keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass pa

Android JSSE實現SSL雙向認證(阻塞模式及非阻塞模式)

      File pfxFile = new File(mCertPath, "ca.pfx");                try {            /*Android支援BKS PKCS12的keystore,不支援JKS,預設為BKS*/            //ksKeys = Ke

Openssl建立SSL雙向認證連線原始碼

 (作者:陳波,2011-11-16,轉載請註明 Form:http://blog.csdn.net/jinhill/article/details/6979200)  #include "stdio.h" #include "string.h" #include "o

nginx配置ssl雙向認證詳解

nginx中配置ssl雙向認證詳解 需求說明:公司內部一些業務系統對安全性要求比較高,例如mis、bi等,這些業務系統只允許公司內部人員訪問,而且要求瀏覽器要安裝證書登入,對公司入職有需求的人員開通證書,流失的人員登出證書。 一、首先修改openssl配置的引數  ##沒安

如何在Vue2實現組件props雙向綁定

class -- 單純 針對 項目 fun over tin 博客園 Vue 2.x相比較Vue 1.x而言,升級變化除了實現了Virtual-Dom以外,給使用者最大不適就是移除的組件的props的雙向綁定功能。以往在Vue1.x中利用props的twoWay和.sync

(xampp)lampp 下配置https(ssl)自簽雙向認證以後 apache無法啟動解決方案

art blog xtra 場景 問題 .com 客戶端瀏覽器 php https 自簽CA一般是沒有應用場景的,因為需要客戶端瀏覽器導入證書才能訪問 但是在某些需要內部使用的場景下,確實是一個解決方案 但是在lampp配置了雙向認證以後發現 原來自帶的管理命令 lampp

python雙向鏈表實現

特殊情況 相互 one 繼承 init pytho width alt 鏈表 引子 雙向鏈表比之單向鏈表,多數操作方法的實現都沒有什麽不同,如is_empty, __len__, traverse, search。這些方法都沒有涉及節點的變動,也就可通過繼承單向鏈表來實現

記錄一下在SpringBoot實現簡單的登錄認證

博客 sca 訪問 oid web font 思路 upload 第一次 代碼參考博客: https://blog.csdn.net/weixin_37891479/article/details/79527641 在做學校的課設的時候,發現了安全的問題,就不懷好意的用戶有

除錯經驗——使用自定義函式在Oracle實現類似LISTAGG函式的行轉列(字串連線)功能

問題描述: LISTAGG函式是一個很實用的函式,但僅在Oracle 11.2以後的版本中才有。 生產環境中有個資料庫是Oracle 11.1,需要行轉列,但並不能使用LISTAGG函式。 解決方法: 參考以下文章: https://oracle-base.com/artic

AngularJS進階(十七)在AngularJS應用實現微信認證授權遇到的坑

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Jenkins郵箱配置,使用SSL連線的問題

轉自:https://blog.csdn.net/jiang1986829/article/details/50955359/ 背景:最近在配置Jenkins的郵件傳送功能時,正確設定好各引數後,在進行通過傳送測試郵件測試配置時,總是出現unable to find valid certific

mosquitto ---SSL/TLS 單向認證+雙向認證

生成證書 # * Redistributions in binary form must reproduce the above copyright #   notice, this list of conditions and the following disclaimer

利用mina框架進行ssl雙向認證連結

再上一篇中我已將建立好了證書,現在開始進行測試建立的證書有沒有用,先建立一個maven專案目錄結構如下 我們這裡是進行的雙向測試,如果想進行單項測試,也就是伺服器端不驗證客戶端的身份(關於ssl的原理可以自行百度瞭解)等會再說,改一個配置就行. 先引入pom檔案: <p

PKI學習之路(五)-----------------------SSL雙向認證日誌分析

根據上一篇的執行結果,我們根據它的日誌分析互動的過程 "C:\Program Files\Java\jdk1.8.0_161\bin\java.exe" "-javaagent:D:\IntelliJ IDEA 2018.1.5\lib\idea_rt.jar=52038:D:\IntelliJ

PKI學習之路(四)-----------------------SSL雙向認證

專案地址:https://github.com/gongxianshengjiadexiaohuihui/PKI/tree/master/ssl 上一篇 我們講了如何用java自帶的keytool工具生成數字證書,我們需要準備兩個證書,一個是server的一個是client的 &