1. 什么是SSLSocket

JDK文档指出,SSLSocket扩展Socket并提供使用SSL或TLS协议的安全套接字。

这种套接字是正常的流套接字,但是它们在基础网络传输协议(如TCP)上添加了安全保护层。

具体安全方面的讨论见下一篇。本篇重点关注SSLSocket及相关几个类的使用。

2. SSLSocket和相关类

SSLSocket来自jsse(Java Secure Socket Extension)。

(1)SSLContext: 此类的实例表示安全套接字协议的实现, 它是SSLSocketFactory、SSLServerSocketFactory和SSLEngine的工厂。

(2)SSLSocket: 扩展自Socket

(3)SSLServerSocket: 扩展自ServerSocket

(4)SSLSocketFactory: 抽象类,扩展自SocketFactory, SSLSocket的工厂

(5)SSLServerSocketFactory: 抽象类,扩展自ServerSocketFactory, SSLServerSocket的工厂

(6)KeyStore: 表示密钥和证书的存储设施

(7)KeyManager: 接口,JSSE密钥管理器

(8)TrustManager: 接口,信任管理器(?翻译得很拗口)

(9)X590TrustedManager: TrustManager的子接口,管理X509证书,验证远程安全套接字

3. SSLContext的使用

  1. public static void main(String[] args) throws Exception {
  2. X509TrustManager x509m = new X509TrustManager() {
  3. @Override
  4. public X509Certificate[] getAcceptedIssuers() {
  5. return null;
  6. }
  7. @Override
  8. public void checkServerTrusted(X509Certificate[] chain,
  9. String authType) throws CertificateException {
  10. }
  11. @Override
  12. public void checkClientTrusted(X509Certificate[] chain,
  13. String authType) throws CertificateException {
  14. }
  15. };
  16. // 获取一个SSLContext实例
  17. SSLContext s = SSLContext.getInstance("SSL");
  18. // 初始化SSLContext实例
  19. s.init(null, new TrustManager[] { x509m },
  20. new java.security.SecureRandom());
  21. // 打印这个SSLContext实例使用的协议
  22. System.out.println("缺省安全套接字使用的协议: " + s.getProtocol());
  23. // 获取SSLContext实例相关的SSLEngine
  24. SSLEngine e = s.createSSLEngine();
  25. System.out
  26. .println("支持的协议: " + Arrays.asList(e.getSupportedProtocols()));
  27. System.out.println("启用的协议: " + Arrays.asList(e.getEnabledProtocols()));
  28. System.out.println("支持的加密套件: "
  29. + Arrays.asList(e.getSupportedCipherSuites()));
  30. System.out.println("启用的加密套件: "
  31. + Arrays.asList(e.getEnabledCipherSuites()));
  32. }

运行结果如下:

SSLContext.getProtocol(): 返回当前SSLContext对象的协议名称

SSLContext.init():  初始化当前SSLContext对象。 三个参数均可以为null。 详见JDK文档。

SSLEngine.getSupportedProtocols()等几个方法可以返回些 Engine上支持/已启用的协议、支持/已启用的加密套件

4. SSLSocket和SSLServerSocket的使用

这两个类的用法跟Socket/ServerSocket的用法比较类似。看下面的例子(主要为了验证SSLSocket的用法 ,I/O和多线程处理比较随意)

4.1 SSLServerSocket

(1)新建一个SSLServerSocket,并开始监听来自客户端的连接

  1. // 抛出异常
  2. // javax.net.ssl.SSLException: No available certificate or key corresponds
  3. // to the SSL cipher suites which are enabled.
  4. public static void notOk() throws IOException {
  5. SSLServerSocketFactory factory = (SSLServerSocketFactory) SSLServerSocketFactory
  6. .getDefault();
  7. SSLServerSocket server = (SSLServerSocket) factory
  8. .createServerSocket(10000);
  9. System.out.println("ok");
  10. server.accept();
  11. }

server.accept()处抛出异常, 提示缺少证书。与ServerSocket不同, SSLServerSocket需要证书来进行安全验证。

使用keytool工具生成一个证书。 步骤如下, 得到一个名为cmkey的证书文件

(2)重新完善上面的代码。 主要增加两个功能: 使用名为cmkey的证书初始化SSLContext,
echo客户端的消息。 代码如下
  1. // 启动一个ssl server socket
  2. // 配置了证书, 所以不会抛出异常
  3. public static void sslSocketServer() throws Exception {
  4. // key store相关信息
  5. String keyName = "cmkey";
  6. char[] keyStorePwd = "123456".toCharArray();
  7. char[] keyPwd = "123456".toCharArray();
  8. KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
  9. // 装载当前目录下的key store. 可用jdk中的keytool工具生成keystore
  10. InputStream in = null;
  11. keyStore.load(in = Test2.class.getClassLoader().getResourceAsStream(
  12. keyName), keyPwd);
  13. in.close();
  14. // 初始化key manager factory
  15. KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory
  16. .getDefaultAlgorithm());
  17. kmf.init(keyStore, keyPwd);
  18. // 初始化ssl context
  19. SSLContext context = SSLContext.getInstance("SSL");
  20. context.init(kmf.getKeyManagers(),
  21. new TrustManager[] { new MyX509TrustManager() },
  22. new SecureRandom());
  23. // 监听和接收客户端连接
  24. SSLServerSocketFactory factory = context.getServerSocketFactory();
  25. SSLServerSocket server = (SSLServerSocket) factory
  26. .createServerSocket(10002);
  27. System.out.println("ok");
  28. Socket client = server.accept();
  29. System.out.println(client.getRemoteSocketAddress());
  30. // 向客户端发送接收到的字节序列
  31. OutputStream output = client.getOutputStream();
  32. // 当一个普通 socket 连接上来, 这里会抛出异常
  33. // Exception in thread "main" javax.net.ssl.SSLException: Unrecognized
  34. // SSL message, plaintext connection?
  35. InputStream input = client.getInputStream();
  36. byte[] buf = new byte[1024];
  37. int len = input.read(buf);
  38. System.out.println("received: " + new String(buf, 0, len));
  39. output.write(buf, 0, len);
  40. output.flush();
  41. output.close();
  42. input.close();
  43. // 关闭socket连接
  44. client.close();
  45. server.close();
  46. }

4.2 SSLSocket

(1)我们先使用一个普通的Socket尝试连接服务器端

  1. // 通过socket连接服务器
  2. public static void socket() throws UnknownHostException, IOException {
  3. Socket s = new Socket("localhost", 10002);
  4. System.out.println(s);
  5. System.out.println("ok");
  6. OutputStream output = s.getOutputStream();
  7. InputStream input = s.getInputStream();
  8. output.write("alert".getBytes());
  9. System.out.println("sent: alert");
  10. output.flush();
  11. byte[] buf = new byte[1024];
  12. int len = input.read(buf);
  13. System.out.println("received:" + new String(buf, 0, len));
  14. }

结果客户端和服务器端都出错。 客户端的错误是接收到乱码。

服务器则抛出异常

javax.net.ssl.SSLException: Unrecognized SSL message, plaintext connection?

(2)改成SSLSocket, 但是不使用证书。客户端抛出
sun.security.provider.certpath.SunCertPathBuilderException: unable to
find valid certification path to requested target

  1. // 不使用证书, 通过ssl socket连接服务器
  2. // 抛出异常, 提示找不到证书
  3. public static void sslSocket() throws UnknownHostException, IOException {
  4. SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory
  5. .getDefault();
  6. SSLSocket s = (SSLSocket) factory.createSocket("localhost", 10002);
  7. System.out.println("ok");
  8. OutputStream output = s.getOutputStream();
  9. InputStream input = s.getInputStream();
  10. output.write("alert".getBytes());
  11. System.out.println("sent: alert");
  12. output.flush();
  13. byte[] buf = new byte[1024];
  14. int len = input.read(buf);
  15. System.out.println("received:" + new String(buf, 0, len));
  16. }

程序客户在不持有证书的情况下直接进行连接,服务器端会产生运行时异常javax.net.ssl.SSLHandshakeException: Received fatal alert: certificate_unknown,不允许进行连接。 我们可以指定像下面这样执行客户端,服务器端可以成功echo客户端的发出的字符串"alert"

java  -Djavax.net.ssl.trustStore=cmkey Client

这里的cmkey即前面生成的证书文件。

(3)改成SSLSocket, 对SSLContext进行如下初始化。

  1. public static void sslSocket2() throws Exception {
  2. SSLContext context = SSLContext.getInstance("SSL");
  3. // 初始化
  4. context.init(null,
  5. new TrustManager[] { new Test2.MyX509TrustManager() },
  6. new SecureRandom());
  7. SSLSocketFactory factory = context.getSocketFactory();
  8. SSLSocket s = (SSLSocket) factory.createSocket("localhost", 10002);
  9. System.out.println("ok");
  10. OutputStream output = s.getOutputStream();
  11. InputStream input = s.getInputStream();
  12. output.write("alert".getBytes());
  13. System.out.println("sent: alert");
  14. output.flush();
  15. byte[] buf = new byte[1024];
  16. int len = input.read(buf);
  17. System.out.println("received:" + new String(buf, 0, len));
  18. }

转载出处:http://410063005.iteye.com/blog/1751243点击打开链接

Https 代理 sslsocket的更多相关文章

  1. docker - 设置HTTP/HTTPS 代理

    背景 将docker的服务器环境切换到新的网络之后,由于服务器的internet是受限制的(需要连接配置远程代理,不能直接上网).因此,在使用docker连接docker hub 的时候,就会出错: ...

  2. python使用http、https代理

    在国内利用Python从Internet上爬取数据时,有些网站或API接口被限速或屏蔽,这时使用代理可以加速爬取过程,减少请求失败,Python程序使用代理的方法主要有以下几种: (1)如果是在代码中 ...

  3. squid http,https, 代理,默认端口3128

    squid http,https, 代理,默认端口3128 https 代理时出现 403,是因为squid默认允许 192.168.0.0 网段代理 在配置文件中,““acl localnet sr ...

  4. Nginx安装及支持https代理配置和禁用TSLv1.0、TSLv1.1配置

    Linux安装Nginx Nginx安装及支持https代理配置和禁用TSLv1.0.TSLv1.1配置. 下载安装包 [root@localhost ~]# wget http://nginx.or ...

  5. haproxy反向代理环境部署(http和https代理)

    操作背景:前方有一台haproxy代理机器(115.100.120.57/192.168.1.7),后方两台realserver机器(192.168.1.150.192.168.1.151,没有公网i ...

  6. gradlew 的https代理设定

    在内网编译vlc for Android 时, 总是在 [./gradlew assemble] 卡住, 在网上找到了设置代理的方法: 在gradlew 的同一目录,建立一个 gradle.prope ...

  7. 基于Swoole的HTTP/HTTPS代理

    N行代码实现一个简单的代理服务器 <?php /** * Web代理服务器(支持http/https) * @author zhjx922 */ class WebProxyServer { p ...

  8. 使用Charles设置https代理到http以及证书安装(服务端篇)

    1.下载ssl证书到[登录],并且设置证书[始终信任] 2.SSL Proxying设置,Location为*,可以抓全部接口的https请求 参考:https://www.jianshu.com/p ...

  9. nginx的https代理http配置

    http { upstream https2http_proxy{ server 192.168.22.103:80; } server { listen 1443 ssl; server_name ...

随机推荐

  1. Address already in use : connect

    Address already in use : connect 错误以及处理 项目中有过手写并发测试,在长时间的并发测试(超过20秒,美妙超过2000)的情况下出现了以上错误 处理方法如下(抄的) ...

  2. C中对整数的大端对齐与小端对齐的理解

    示例 /* 大端与小端对齐 说明: 1.对于arm, intel这种x86架构的复杂指令cpu,整数在内存中是 倒着存放的,低地址放低位,高地址放高位,称之为小端对齐 2.对于linux服务器的cpu ...

  3. Codeforces 1208F Bits And Pieces 位运算 + 贪心 + dp

    题意:给你一个序列a, 问a[i] ^ (a[j] & a[k])的最大值,其中i < j < k. 思路:我们考虑对于每个a[i]求出它的最优解.因为是异或运算,所以我们从高位向 ...

  4. 7.搭建hyperledger fabric环境及启动——2019年12月12日

    2019年12月12日13:05:16 声明:从网络中学习整理实践而来. 1.介绍fabric Fabric 是一个面向企业应用的区块链框架,基于 Fabric 的开发可以粗略分为几个层面: 1. 参 ...

  5. 【leetcode】668. Kth Smallest Number in Multiplication Table

    题目如下: 解题思路:几乎和[leetcode]719. Find K-th Smallest Pair Distance 的方法一样.只不过一个是减法一个是乘法,还有一点区别是[leetcode]7 ...

  6. Delphi 安装Cnpack cnvcl后界面不断弹出 Memory Manager's list capablity overflow ,please enlarge it!

    Delphi 安装Cnpack cnvcl后界面不断弹出 Memory Manager's list capablity overflow ,please enlarge it! 解决方法:删除指定  ...

  7. IntelliJ IDEA设置maven

    1.更改默认的maven仓库 2.手动更新maven 项目——也就是下载依赖的jar包 3. 不想每次手动更新,设置IDEA自动更新mav项目,下载jar包

  8. php max()函数 语法

    php max()函数 语法 作用:从所有参数中找到最大数 语法:max(X,Y,Z) 或者max(array(X,Y,Z)) 参数:max函数中参数至少一个,可以多个参数,也可以是数组. 说明:如果 ...

  9. POJ3233]Matrix Power Series && [HDU1588]Gauss Fibonacci

    题目:Matrix Power Series 传送门:http://poj.org/problem?id=3233 分析: 方法一:引用Matrix67大佬的矩阵十题:这道题两次二分,相当经典.首先我 ...

  10. C++ allocator类学习理解

    前言 在学习STL中containers会发现C++ STL里定义了很多的容器(containers),每一个容器的第二个模板参数都是allocator类型,而且默认参数都是allocator.但是a ...