SSL Demo说明

tianshibaijia

浏览: 1126853 次

最近访客更多访客>>

u012363178

yishiyouya

kyo19

wzawz

博主相关

博客

微博

相册

留言

关于我

文章分类

全部博客 (1421)

社区版块

存档分类

2012-01 ( 99)
2011-12 ( 145)
2011-11 ( 166)
更多存档...

1.单向ssl和双向ssl
网上有些例子可以参考：
http://www.yeeach.com/digg/story/11964
http://www.bluedash.net/spaces/SSL介绍与Java实例
第一步: 客户端发送ClientHello消息，发起SSL连接请求，告诉服务器自己支持的SSL选项（加密方式等）。
单向SSL：
1 *** ClientHello, TLSv1
第二步: 服务器响应请求，回复ServerHello消息，和客户端确认SSL加密方式：
1 *** ServerHello, TLSv1
第三步: 服务端向客户端发布自己的公钥。
第四步: 客户端与服务端的协通沟通完毕，服务端发送ServerHelloDone消息：
1 *** ServerHelloDone
第五步: 客户端使用服务端给予的公钥，创建会话用密钥（SSL证书认证完成后，为了提高性能，所有的信息交互就可能会使用对称加密算法），并通过ClientKeyExchange消息发给服务器：
1 *** ClientKeyExchange, RSA PreMasterSecret, TLSv1
第六步：客户端通知服务器改变加密算法，通过ChangeCipherSpec消息发给服务端：
1 main, WRITE: TLSv1 Change Cipher Spec, length = 1
第七步：客户端发送Finished消息，告知服务器请检查加密算法的变更请求：
1 *** Finished
第八步：服务端确认算法变更，返回ChangeCipherSpec消息
1 main, READ: TLSv1 Change Cipher Spec, length = 1
第九步：服务端发送Finished消息，加密算法生效：
1 *** Finished
那么如何让服务端也认证客户端的身份，即双向握手呢？其实很简单，在服务端代码中，把这一行：
1 ((SSLServerSocket) _socket).setNeedClientAuth(false);
改成：
1 ((SSLServerSocket) _socket).setNeedClientAuth(true);
就可以了。但是，同样的道理，现在服务端并没有信任客户端的证书，因为客户端的证书也是自己生成的。所以，对于服务端，需要做同样的工作：把客户端的证书导出来，并导入到服务端的证书仓库。

双向SSL
在 *** ServerHelloDone 之前，服务端向客户端发起了需要证书的请求 *** CertificateRequest 。
在客户端向服务端发出 Change Cipher Spec 请求之前，多了一步客户端证书认证的过程
*** CertificateVerify 。

编码注意：
System.setProperty("javax.net.ssl.trustStore", SERVER_TRUST_STORE);//在双向SSL才需要，用于对方的证书
System.setProperty("javax.net.debug", "ssl,handshake");//打开SSL握手的日志
((SSLServerSocket) _socket).setNeedClientAuth(true);//是否启用双向SSL认证
context.init(kf.getKeyManagers(), tms, null); //tms参数为TrustManager[],可以自定义，也可以从keystore构造
自定义的例子：

package org.young.ssl;

import java.io.BufferedInputStream;
import java.io.FileInputStream;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.util.ArrayList;
import java.util.List;

import javax.net.ssl.X509TrustManager;

public class TestX509TrustManager implements X509TrustManager {

private static String SERVER_KEY_STORE_PASSWORD = "654321";

@Override
    public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        System.out.println("checkClientTrusted");
        System.out.println(authType);
        System.out.println(chain);

}

@Override
    public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        // TODO Auto-generated method stub
        System.out.println("checkServerTrusted");

}

@Override
    public X509Certificate[] getAcceptedIssuers() {
        X509Certificate[] chain = null;
        try {
            //            TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
            //            KeyStore tks = KeyStore.getInstance("JKS");
            //            tks.load(new FileInputStream("D:/work/j2eeproject/ssl-demo/store/server/tserver.keystore"),
            //                    SERVER_KEY_STORE_PASSWORD.toCharArray());
            //            tmf.init(tks);
            //            chain = ((X509TrustManager) tmf.getTrustManagers()[0]).getAcceptedIssuers();

//or

FileInputStream fis = new FileInputStream("D:/work/j2eeproject/ssl-demo/store/server/tserver.keystore");
            BufferedInputStream bis = new BufferedInputStream(fis);

CertificateFactory cf = CertificateFactory.getInstance("X.509");
            List<X509Certificate> list = new ArrayList<X509Certificate>();
            while (bis.available() > 0) {
                X509Certificate c = (X509Certificate) cf.generateCertificate(bis);
                list.add(c);
            }

chain = list.toArray(chain);
            list = null;

//            for(X509Certificate c: chain) {
            //                System.out.println(c.gets);
            //            }
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
        return chain;
    }
}

2.签名的例子
http://www.herongyang.com/JDK/jca_signature_2.html

分享到：