#博学谷IT学习技术支持#
文章目录
- 1.Linux准备环境
- 2.证书扩展名
- 3.自签CA证书
-
- 3.1 生成根证书
- 3.2 生成服务端证书
- 3.3 生成客户端证书
- 4.开启https,并验证客户端(双向认证)
-
- 4.1配置nginx,开启https
- 4.2.打开客户端认证
- 5.java代码
最近做接口对接的时候,双方都需要使用https协议和客户端认证(https双向认证)。虽然之前接触过。https,了解一些https原理和加密算法,但在实践中或多或少会遇到一些问题。因此,记录遇到的问题,便于后续阅读和搜索。我也希望你能更快地理解它。
参考:
linux环境安装nginx pem和der扩展文件名称转换
1.Linux准备环境
- openssl
使用openssl version查看openssl如果版本没有安转openssl,可以执行 yum install openssl 安装
- nginx
我们使用nginx来进行https首先,我们需要安装双向认证nginx并附带SSL 模块 可以查看详细的安装过程 Linux安装nginx ssl
2.证书扩展名
在开发和测试阶段,使用的是自签的证书。在找自签CA在证书操作过程中,会有很多文件扩展名,比如pem,der,csr.cer.crt.p12,pfx,jks等等,刚开始接触的话很容易混淆,先来看看证书的扩展名。
- DER: .DER = DER二进制扩展DER编码证书。这些文件也可以携带CER或CRT扩展。
- PEM:使?Base64 ASCII进入编码的纯本格式为 - BEGIN …”前缀的ASCII(Base64)数据。
- KEY:.KEY 扩展名用于公钥和私钥,常用于私钥。也可以编码为二进制DER或ASCII PEM。
- CSR:证书签名请求。CSR文件是申请SSL证书所需的数据文件。
- CRT:CRT扩展用于证书。 证书可以编码为二进制DER或ASCII PEM。 CER和CRT扩展几乎是同义词。 最常见的于Unix 或类Unix系统。一般来说,.CRT文件常在Linux该系统包括公钥和主要信息。
- CER:.CRT您可以在微软系统环境中替代替代形式.CRT转换为.CER(.both DER编码的.CER,或base64 [PEM]编码的.cer)。一般来说,就是.CER扩展文件是DER编码,并且.CER文件常在Windows系统使用。
- P12:P12证书全称是PKCS#12.用于描述个人身份信息的数字证书交换加密标准。p12证书包括私钥、公钥和密码保护。证书泄露后,有最后一个保证——证书密码。我不知道正确的证书密码不能提取密钥(文件的扩展名称可以是pfx或p12)
- PFX:PFX也是由PKCS#12标准定义包括公钥和私钥二进制格式的证书形式pfx作为证书文件的后缀名(文件的扩展名可以是pfx或p12)
- JKS:JKS是JAVA的keytools证书工具支持证书私钥格式
3.自签CA证书
3.1 生成根证书
mkdir ssl 创建存放证书的记录 cd ssl 证书存放记录
openssl genrsa -out ca.key 2048 ?私钥成根证书 查看一下ca.key 可以看到的内容 
可以将ca.key转为pem文件 openssl rsa -in ca.key -out ca-key.pem 再查看一下ca-key.pem文件、内容和ca.key是相同的
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -days设置证书有效期10年 在生成证书时,输入一些个人信息 证书生成后,可以查看ca.crt的内容 也可以将ca.crt转为pem文件 openssl x509 -in ca.crt -out ca-crt.pem 再查看一下ca-crt.pem文件、内容和ca.crt是相同的
PEM编码转为DER编码 openssl x509 -in ca-crt.pem -outform der -out ca-crt.der DER转为PEM openssl x509 -in ca-crt.der -inform der -outform pem -out ca-crt.pem (提示:转换KEY文件也相似) der二进制编码文件不能直接查看,可以用命令查看.der文件 openssl x509 -in ca-crt.der -inform der -text -noout
3.2 生成服务端证书
这里统一使用,便于理解和操作pem编码,统一生成pem格式扩展文件
生成pem扩展名的私钥 openssl genrsa -out server-key.pem 2048 2048年生成的私钥为2048位,一般使用2048位相对安全
将.pem扩展名私钥转换.key openssl rsa -in server-key.pem -out server.key 再查看server.key 和server.pem 私钥内容相同
注意这?的common name必须是需要访问的域名,其他内容可以填写根证书? openssl req -new -key server-key.pem -out server-csr.pem 可以将server-csr.pem转为.csr扩展名 openssl req -in server-csr.pem -out server.csr 或者直接修改扩展名 .pem为.csr
openssl x509 -req -sha256 -in server-csr.pem -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server-crt.pem 可以将server-crt.pem转为.crt扩展名 openssl x509 -outform pem -in server-crt.pem -out server.crt
openssl pkcs12 -export -in server.crt -inkey server.key -out server.pfx
注:在将.pem扩展文件转换key,csr,crt文件时,先查看文件内容 包含 -----BEGIN RSA PRIVETE KEY ----- 可导出转换的内容.key扩展名文件 包含 -----BEGIN CERTIFICATE REQUEST ----- 可导出转换的内容.csr扩展名文件 包含 -----BEGIN CERTIFICATE ----- 可导出转换的内容.crt扩展名文件
3.3 生成客户端证书
客户端证书?成步骤和服务端基本?样,需要注意的就是在?成签发请求的时候填写的信息中,comm name也要访问域名。
openssl genrsa -out client.key 2048
openssl req -new -ke client.key -out client.csr
openssl x509 -req -sha256 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out client.crt
openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12
4.开启https,并校验客户端(双向认证)
4.1配置nginx,开启https
- 开启https请求
进入nginx目录,编辑nginx.conf – vim nginx.conf 找到HTTPS server ssl_certificate 服务端crt证书路径 ssl_certificatie_key 服务端私钥路径 配置完以后 启动或者容器一下nginx 启动:在nginx目录执行 ./sbin/nginx 重启:在nginx目录执行 ./sbin/nginx -s reload 在浏览器访问是成功的,因为我们是自签证书,因此显示不安全
4.2开启客户端认证
vim nginx.conf继续编辑nginx.conf ssl_client_certificate 指定客户端认证时使⽤的根证书路径,⽤来验证客户端证书的正确性,我们使用的自签ca证书签发的客户端证书,因此使用ca.crt ssl_verify_client on 为开启客户端校验 配置完成后重启nginx ./sbin/nginx -s reload 为了方便测试。我们直接使用curl 命令进行测试 curl https://ip -k -v ip为访问的具体ip地址 -k编码忽略服务端证书的校验,因为我们这里服务端证书也是自签的,所以要加上-k 不加-k,会有异常提示 -v为显示具体的信息,也可以不加 使用上述命令访问后 提示需要携带客户端的证书,说明我们配置的客户端认证已经生效了 curl --cert client.crt --key client.key https://ip -k 可以看到携带证书后访问是成功的,说明客户端已经认证成功了,因此https双向认证完成了
5.java代码
附一段java代码,代码来自 https://wenku.baidu.com/view/ee8e04315c0e7cd184254b35eefdc8d376ee1494.html
public class SSLService {
// 客户端证书路径,⽤了本地绝对路径,需要修改
private final static String CLIENT_CERT_FILE = "C:\\Users\\tzx\\Desktop\\client.p12";
// 客户端证书密码
private final static String CLIENT_PWD = "131112";
// 信任库路径,即keytool⽣成的那个⾃定义名称的库⽂件
private final static String TRUST_STRORE_FILE = "D:\\Java\\jdk1.8.0_131\\jre\\lib\\security\\test.truststore";
// 信任库密码,即keytool时的密码
private final static String TRUST_STORE_PWD = "131112";
private static String readResponseBody(InputStream inputStream) throws IOException {
try {
BufferedReader br = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")));
StringBuffer sb = new StringBuffer();
String buff = null;
while ((buff = br.readLine()) != null) {
sb.append(buff + "\n");
}
return sb.toString();
} finally {
inputStream.close();
}
}
public static void httpsCall() throws Exception {
// 初始化密钥库
KeyManagerFactory keyManagerFactory = KeyManagerFactory
.getInstance("SunX509");
KeyStore keyStore = getKeyStore(CLIENT_CERT_FILE, CLIENT_PWD, "PKCS12");
keyManagerFactory.init(keyStore, CLIENT_PWD.toCharArray());
// 初始化信任库
TrustManagerFactory trustManagerFactory = TrustManagerFactory
.getInstance("SunX509");
KeyStore trustkeyStore = getKeyStore(TRUST_STRORE_FILE, TRUST_STORE_PWD, "JKS");
trustManagerFactory.init(trustkeyStore);
// 初始化SSL上下⽂
SSLContext ctx = SSLContext.getInstance("SSL");
ctx.init(keyManagerFactory.getKeyManagers(), trustManagerFactory
.getTrustManagers(), null);
SSLSocketFactory sf = ctx.getSocketFactory();
HttpsURLConnection.setDefaultSSLSocketFactory(sf);
String url = "https://blog.tzx.com";
URL urlObj = new URL(url);
HttpsURLConnection con = (HttpsURLConnection) urlObj.openConnection();
con.setRequestProperty("User-Agent", "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 " +
"(KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36");
con.setRequestProperty("Accept-Language", "zh-CN;en-US,en;q=0.5");
con.setRequestMethod("GET");
String res = readResponseBody(con.getInputStream());
System.out.println(res);
}
/** * 获得KeyStore */
private static KeyStore getKeyStore(String keyStorePath, String password, String type)
throws Exception {
FileInputStream is = new FileInputStream(keyStorePath);
KeyStore ks = KeyStore.getInstance(type);
ks.load(is, password.toCharArray());
is.close();
return ks;
}
public static void main(String[] args) throws Exception {
httpsCall(null);
}
}