java 用戶端 服務端 ssl雙向認證

如果有這個需要，那麼通過GOOGLE，可以搜尋到很多這樣的文章。

模拟場景：

Server端和Client端通信，需要進行授權和身份的驗證，即Client隻能接受Server的消息，Server隻能接受Client的消息。

實作技術：

JSSE（Java Security Socket Extension）

是 Sun為了解決在Internet上的安全通訊而推出的解決方案。它實作了SSL和TSL（傳輸層安全）協定。在JSSE中包含了資料加密，伺服器驗證， 消息完整性和用戶端驗證等技術。通過使用JSSE，開發人員可以在客戶機和伺服器之間通過TCP/IP協定安全地傳輸資料

為了實作消息認證。

Server需要：

1）KeyStore: 其中儲存服務端的私鑰

2）Trust KeyStore:其中儲存用戶端的授權證書

同樣，Client需要：

1）KeyStore：其中儲存用戶端的私鑰

2）Trust KeyStore：其中儲存服務端的授權證書

我們可以使用Java自帶的keytool指令，去生成這樣資訊檔案

1）生成服務端私鑰，并且導入到服務端KeyStore檔案中

keytool -genkey -alias serverkey -keystore kserver.keystore

過程中，分别需要填寫，根據需求自己設定就行

keystore密碼：123456

名字和姓氏：stone

組織機關名稱：eulic

組織名稱：eulic

城市或區域名稱：HZ

州或省份名稱：ZJ

國家代碼：CN

serverkey私鑰的密碼，不填寫和keystore的密碼一緻：123456

就可以生成kserver.keystore檔案

server.keystore是給服務端用的，其中儲存着自己的私鑰

2）根據私鑰，導出服務端證書

keytool -export -alias serverkey -keystore kserver.keystore -file server.crt

server.crt就是服務端的證書

3）将服務端證書，導入到用戶端的Trust KeyStore中

keytool -import -alias serverkey -file server.crt -keystore tclient.keystore

tclient.keystore是給用戶端用的，其中儲存着受信任的證書

采用同樣的方法，生成用戶端的私鑰，用戶端的證書，并且導入到服務端的Trust KeyStore中

1）keytool -genkey -alias clientkey -keystore kclient.keystore

2）keytool -export -alias clientkey -keystore kclient.keystore -file client.crt

3）keytool -import -alias clientkey -file client.crt -keystore tserver.keystore

如此一來，生成的檔案分成兩組

服務端儲存：kserver.keystore tserver.keystore

用戶端儲存：kclient.keystore  tclient.kyestore

接下來，就采用JSSE，分别生成SSLServerSocket,SSLSocket

服務端，生成SSLServerSocket代碼

SSLContext ctx = SSLContext.getInstance("SSL");

KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");

TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");

KeyStore ks = KeyStore.getInstance("JKS");

KeyStore tks = KeyStore.getInstance("JKS");

ks.load(new FileInputStream("data/kserver.keystore"), SERVER_KEY_STORE_PASSWORD.toCharArray());

tks.load(new FileInputStream("data/tserver.keystore"), SERVER_TRUST_KEY_STORE_PASSWORD.toCharArray());

kmf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());

tmf.init(tks);

ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);

return (SSLServerSocket) ctx.getServerSocketFactory().createServerSocket(DEFAULT_PORT);

用戶端，生成SSLSocket的代碼，大同小異

ks.load(new FileInputStream("data/kclient.keystore"), CLIENT_KEY_STORE_PASSWORD.toCharArray());

tks.load(new FileInputStream("data/tclient.keystore"), CLIENT_TRUST_KEY_STORE_PASSWORD.toCharArray());

kmf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray());

return (SSLSocket) ctx.getSocketFactory().createSocket(DEFAULT_HOST, DEFAULT_PORT);

如此，就完成了服務端和用戶端之間的基于身份認證的互動。

client采用kclient.keystore中的clientkey私鑰進行資料加密，發送給server

server采用tserver.keystore中的client.crt證書（包含了clientkey的公鑰）對資料解密，如果解密成功，證明消息來自client，進行邏輯處理

server采用kserver.keystore中的serverkey私鑰進行資料叫米，發送給client

client采用tclient.keystore中的server.crt證書（包含了serverkey的公鑰）對資料解密，如果解密成功，證明消息來自server，進行邏輯處理

如果過程中，解密失敗，那麼證明消息來源錯誤。不進行邏輯處理。這樣就完成了雙向的身份認證。

下面我附上簡單的SSLServer.java SSLClient.java，供大家示範用。

啟動服務端的時候，大家不妨采用telnet 127.0.0.1 7777連接配接，看看能不能實作消息傳遞。

ssl demo

備注：

demo是采用maven建構項目的

demo檔案的編碼是用utf8，為了避免中文亂碼，請把workspace設定成utf8編碼