java SSLContext
1. 什么是SSLSocket
JDK文档指出,SSLSocket扩展Socket并提供使用SSL或TLS协议的安全套接字。
这种套接字是正常的流套接字,但是它们在基础网络传输协议(如TCP)上添加了安全保护层。
具体安全方面的讨论见下一篇。本篇重点关注SSLSocket及相关几个类的使用。
2. SSLSocket和相关类
SSLSocket来自jsse(JavaSecure Socket Extension)。
(1)SSLContext: 此类的实例表示安全套接字协议的实现, 它是SSLSocketFactory、SSLServerSocketFactory和SSLEngine的工厂。
(2)SSLSocket: 扩展自Socket
(3)SSLServerSocket: 扩展自ServerSocket
(4)SSLSocketFactory: 抽象类,扩展自SocketFactory, SSLSocket的工厂
(5)SSLServerSocketFactory: 抽象类,扩展自ServerSocketFactory, SSLServerSocket的工厂
(6)KeyStore: 表示密钥和证书的存储设施
(7)KeyManager: 接口,JSSE密钥管理器
(8)TrustManager: 接口,信任管理器(?翻译得很拗口)
(9)X590TrustedManager: TrustManager的子接口,管理X509证书,验证远程安全套接字
3. SSLContext的使用
- public static void main(String[] args) throws Exception {
- X509TrustManager x509m = new X509TrustManager() {
- @Override
- public X509Certificate[] getAcceptedIssuers() {
- return null;
- }
- @Override
- public void checkServerTrusted(X509Certificate[] chain,
- String authType) throws CertificateException {
- }
- @Override
- public void checkClientTrusted(X509Certificate[] chain,
- String authType) throws CertificateException {
- }
- };
- // 获取一个SSLContext实例
- SSLContext s = SSLContext.getInstance("SSL");
- // 初始化SSLContext实例
- s.init(null, new TrustManager[] { x509m },
- new java.security.SecureRandom());
- // 打印这个SSLContext实例使用的协议
- System.out.println("缺省安全套接字使用的协议: " + s.getProtocol());
- // 获取SSLContext实例相关的SSLEngine
- SSLEngine e = s.createSSLEngine();
- System.out
- .println("支持的协议: " + Arrays.asList(e.getSupportedProtocols()));
- System.out.println("启用的协议: " + Arrays.asList(e.getEnabledProtocols()));
- System.out.println("支持的加密套件: "
- + Arrays.asList(e.getSupportedCipherSuites()));
- System.out.println("启用的加密套件: "
- + Arrays.asList(e.getEnabledCipherSuites()));
- }
运行结果如下:
SSLContext.getProtocol(): 返回当前SSLContext对象的协议名称
SSLContext.init(): 初始化当前SSLContext对象。 三个参数均可以为null。 详见JDK文档。
SSLEngine.getSupportedProtocols()等几个方法可以返回些 Engine上支持/已启用的协议、支持/已启用的加密套件
4. SSLSocket和SSLServerSocket的使用
这两个类的用法跟Socket/ServerSocket的用法比较类似。看下面的例子(主要为了验证SSLSocket的用法 ,I/O和多线程处理比较随意)
4.1 SSLServerSocket
(1)新建一个SSLServerSocket,并开始监听来自客户端的连接
- // 抛出异常
- // javax.net.ssl.SSLException: No available certificate or key corresponds
- // to the SSL cipher suites which are enabled.
- public static void notOk() throws IOException {
- SSLServerSocketFactory factory = (SSLServerSocketFactory) SSLServerSocketFactory
- .getDefault();
- SSLServerSocket server = (SSLServerSocket) factory
- .createServerSocket(10000);
- System.out.println("ok");
- server.accept();
- }
server.accept()处抛出异常, 提示缺少证书。与ServerSocket不同, SSLServerSocket需要证书来进行安全验证。
使用keytool工具生成一个证书。 步骤如下, 得到一个名为cmkey的证书文件
(2)重新完善上面的代码。 主要增加两个功能: 使用名为cmkey的证书初始化SSLContext, echo客户端的消息。 代码如下
- // 启动一个ssl server socket
- // 配置了证书, 所以不会抛出异常
- public static void sslSocketServer() throws Exception {
- // key store相关信息
- String keyName = "cmkey";
- char[] keyStorePwd = "123456".toCharArray();
- char[] keyPwd = "123456".toCharArray();
- KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
- // 装载当前目录下的key store. 可用jdk中的keytool工具生成keystore
- InputStream in = null;
- keyStore.load(in = Test2.class.getClassLoader().getResourceAsStream(
- keyName), keyPwd);
- in.close();
- // 初始化key manager factory
- KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory
- .getDefaultAlgorithm());
- kmf.init(keyStore, keyPwd);
- // 初始化ssl context
- SSLContext context = SSLContext.getInstance("SSL");
- context.init(kmf.getKeyManagers(),
- new TrustManager[] { new MyX509TrustManager() },
- new SecureRandom());
- // 监听和接收客户端连接
- SSLServerSocketFactory factory = context.getServerSocketFactory();
- SSLServerSocket server = (SSLServerSocket) factory
- .createServerSocket(10002);
- System.out.println("ok");
- Socket client = server.accept();
- System.out.println(client.getRemoteSocketAddress());
- // 向客户端发送接收到的字节序列
- OutputStream output = client.getOutputStream();
- // 当一个普通 socket 连接上来, 这里会抛出异常
- // Exception in thread "main" javax.net.ssl.SSLException: Unrecognized
- // SSL message, plaintext connection?
- InputStream input = client.getInputStream();
- byte[] buf = new byte[1024];
- int len = input.read(buf);
- System.out.println("received: " + new String(buf, 0, len));
- output.write(buf, 0, len);
- output.flush();
- output.close();
- input.close();
- // 关闭socket连接
- client.close();
- server.close();
- }
4.2 SSLSocket
(1)我们先使用一个普通的Socket尝试连接服务器端
- // 通过socket连接服务器
- public static void socket() throws UnknownHostException, IOException {
- Socket s = new Socket("localhost", 10002);
- System.out.println(s);
- System.out.println("ok");
- OutputStream output = s.getOutputStream();
- InputStream input = s.getInputStream();
- output.write("alert".getBytes());
- System.out.println("sent: alert");
- output.flush();
- byte[] buf = new byte[1024];
- int len = input.read(buf);
- System.out.println("received:" + new String(buf, 0, len));
- }
结果客户端和服务器端都出错。 客户端的错误是接收到乱码。
服务器则抛出异常
javax.NET.ssl.SSLException: Unrecognized SSL message, plaintext connection?
(2)改成SSLSocket, 但是不使用证书。客户端抛出sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- // 不使用证书, 通过ssl socket连接服务器
- // 抛出异常, 提示找不到证书
- public static void sslSocket() throws UnknownHostException, IOException {
- SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory
- .getDefault();
- SSLSocket s = (SSLSocket) factory.createSocket("localhost", 10002);
- System.out.println("ok");
- OutputStream output = s.getOutputStream();
- InputStream input = s.getInputStream();
- output.write("alert".getBytes());
- System.out.println("sent: alert");
- output.flush();
- byte[] buf = new byte[1024];
- int len = input.read(buf);
- System.out.println("received:" + new String(buf, 0, len));
- }
程序客户在不持有证书的情况下直接进行连接,服务器端会产生运行时异常javax.Net.ssl.SSLHandshakeException: Received fatal alert: certificate_unknown,不允许进行连接。 我们可以指定像下面这样执行客户端,服务器端可以成功echo客户端的发出的字符串"alert"
Java -Djavax.net.ssl.trustStore=cmkey Client
这里的cmkey即前面生成的证书文件。
(3)改成SSLSocket, 对SSLContext进行如下初始化。
- public static void sslSocket2() throws Exception {
- SSLContext context = SSLContext.getInstance("SSL");
- // 初始化
- context.init(null,
- new TrustManager[] { new Test2.MyX509TrustManager() },
- new SecureRandom());
- SSLSocketFactory factory = context.getSocketFactory();
- SSLSocket s = (SSLSocket) factory.createSocket("localhost", 10002);
- System.out.println("ok");
- OutputStream output = s.getOutputStream();
- InputStream input = s.getInputStream();
- output.write("alert".getBytes());
- System.out.println("sent: alert");
- output.flush();
- byte[] buf = new byte[1024];
- int len = input.read(buf);
- System.out.println("received:" + new String(buf, 0, len));
- }
服务器端可以成功echo客户端的发出的字符串"alert"。 完整代码见附件。
参考 http://java.ccidnet.com/art/3737/20060808/789375_1.html
http://blog.csdn.net/scliu0718/article/details/7198889
http://www.iteye.com/topic/1114800
http://410063005.iteye.com/blog/1751243
java SSLContext的更多相关文章
- Spark案例分析
一.需求:计算网页访问量前三名 import org.apache.spark.rdd.RDD import org.apache.spark.{SparkConf, SparkContext} /* ...
- 用java开发微信公众号:公众号接入和access_token管理(二)
本文为原创,原始地址为http://www.cnblogs.com/fengzheng/p/5027630.html 上一篇说了微信开发的准备工作,准备工作完成之后,就要开始步入正题了.其实微信公众号 ...
- java https单向认证(忽略认证)并支持http基本认证
https单向认证(忽略认证)并支持http基本认证, 温馨提示 1,jar包要导入对 2,有匿名类编译要注意 3,欢迎提问,拿走不谢!背景知识 Https访问的相关知识中,主要分为单向验证和双向验证 ...
- java获取https网站证书,附带调用https:webservice接口
一.java 获取https网站证书: 1.创建一个java工程,新建InstallCert类,将以下代码复制进去 package com; import java.io.BufferedReader ...
- Cocos2d-JS/Ajax用Protobuf与NodeJS/Java通信
原文地址:http://www.iclojure.com/blog/articles/2016/04/29/cocos2d-js-ajax-protobuf-nodejs-java Google的Pr ...
- 使用poco 的NetSSL_OpenSSL 搭建https 服务端,使用C++客户端,java 客户端访问,python访问(python还没找到带证书访问的代码.)
V20161028 由于项目原因,需要用到https去做一些事情. 这儿做了一些相应的研究. 这个https 用起来也是折腾人,还是研究了一周多+之前的一些积累. 目录 1,java client 通 ...
- Tomcat创建HTTPS访问,java访问https
一 https和ssL HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的 ...
- SSL介绍与Java实例
有关SSL的原理和介绍在网上已经有不少,对于Java下使用keytool生成证书,配置SSL通信的教程也非常多.但如果我们不能够亲自动手做一个SSL Sever和SSL Client,可能就永远也不能 ...
- JAVA错误汇总
1.Slf4J-API版本兼容 问题描述 Exception in thread "main" java.lang.NoSuchMethodError: org.slf4j.hel ...
随机推荐
- FPGA学习的一些误区
转载自网络,作者不详. 我常年担任多个有关FPGA学习研讨的QQ群管理员,长期以来很多新入群的菜鸟们总是在重复的问一些非常简单但是又让新手困惑不解的问题.作为管理员经常要给这些菜鸟们普及基础知识,但是 ...
- paper 160:python 知识点概要 更新ing
1.python json http://www.runoob.com/python/python-json.html Python的json模块提供了一种很简单的方式来编码和解码JSON数据. 其 ...
- element-ui中的loading的实际应用
实际开发中,要如何指定loading在我们想要的区域加遮罩呢? 前提: 你已经引入element-ui,如下: import ElementUI from 'element-ui' import { ...
- [CSP-S模拟测试]:z(模拟+map+小根堆)
题目背景 $\frac{1}{4}$遇到了一道水题,$eooooo$完全不会做,于是去请教小$D$.结果小$D$已经去了阿塞拜疆,于是,$\frac{1}{4}$只好来问你,这道题是这样的: 题目描述 ...
- GridManager 隐藏列
GridManager 表格管理组件, 对列的隐藏与显示的操作有两种方式. 初始化时指定列为隐藏或显示状态.方式如下: <table></table> var table = ...
- python中匿名函数lamada函数的使用说明
匿名函数lambda是指一类无需定义标识符(函数名 )的一类函数式或子程序.lambda函数可以 接受多个任意参数,并且返回单个表达式的值. 它的意义在于即插即用类型,不必定义名字,方便.它需要的返回 ...
- ArcMap如何撤销配准
ArcMap地理配准时,更新地理配准后,就没法撤销了. 如何解决呢,更新地理配准后,会在源文件夹中自动生成配准文件(文件格式为.over .jgwx .xml),可以通过删除这些文件来清除配准.
- C#链接mysql出现 One of the identified items was in an invalid format
这个问题在tolist查询结果的时候就会出现但是count就不会出现,后来才发现是数据生成工具生成出来的ID有问题导致的,只要保证iD不重复并且按照指定的类型建立ID就可以了
- TypeScript:TypeScript 百科
ylbtech-TypeScript:TypeScript 百科 TypeScript是一种由微软开发的自由和开源的编程语言.它是JavaScript的一个超集,而且本质上向这个语言添加了可选的静态类 ...
- 科普:std::sort干了什么
std::sort算是STL中对OIer比较友好的函数了,但你有想过sort是如何保证它的高速且稳定吗? 正文 我们首先来到第一层:sort函数 template<typename _Rando ...