想必大家對 HTTPS 都有一定的了解吧。今天將給大家聊聊 HTTPS 是如何做安全認(rèn)證的。HTTPS 是 HTTP 的一個(gè)擴(kuò)展，允許計(jì)算機(jī)網(wǎng)絡(luò)中的兩個(gè)實(shí)體之間進(jìn)行安全通信。HTTPS 使用TLS（傳輸層安全）協(xié)議來實(shí)現(xiàn)安全連接。

TLS 可以通過單向或雙向的證書驗(yàn)證來實(shí)現(xiàn)。在單向中，服務(wù)器分享其公共證書，以便客戶可以驗(yàn)證它是一個(gè)受信任的服務(wù)器。另一個(gè)選擇是雙向驗(yàn)證。客戶端和服務(wù)器都分享他們的公共證書以驗(yàn)證對方的身份。
將重點(diǎn)介紹雙向證書驗(yàn)證，服務(wù)器也將檢查客戶的證書。

Java 和 TLS 版本

TLS 1.3是該協(xié)議的最新版本。這個(gè)版本的性能和安全性更高。它有一個(gè)更有效的握手協(xié)議，并使用現(xiàn)代加密算法。

Java 在Java 11中開始支持這個(gè)版本的協(xié)議。我們將使用這個(gè)版本來生成證書，并實(shí)現(xiàn)一個(gè)簡單的客戶端-服務(wù)器，使用TLS來驗(yàn)證對方。

在 Java 中生成證書

由于我們正在進(jìn)行雙向TLS認(rèn)證，我們需要為客戶端和服務(wù)器生成證書。

在生產(chǎn)環(huán)境中，我們建議從證書頒發(fā)機(jī)構(gòu)購買這些證書。然而，對于測試或演示的目的，使用自簽名的證書就足夠了。在這篇文章中，我們將使用Java的keytool來生成自簽名證書。

服務(wù)器證書

首先，我們生成服務(wù)器的密鑰存儲。

keytool -genkey -alias serverkey -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore serverkeystore.p12 -storepass password -ext san=ip:127.0.0.1,dns:localhost

我們使用keytool -ext選項(xiàng)來設(shè)置 Subject Alternative Names （SAN），以定義識別服務(wù)器的本地主機(jī)名/IP地址。一般來說，我們可以用這個(gè)選項(xiàng)指定多個(gè)地址。然而，客戶將被限制在使用這些地址中的一個(gè)來連接到服務(wù)器。

接下來，我們把證書導(dǎo)出到文件server-certificate.pem中。

keytool -exportcert -keystore serverkeystore.p12 -alias serverkey -storepass password -rfc -file server-certificate.pem

最后，我們將服務(wù)器證書添加到客戶端的信任存儲中。

keytool -import -trustcacerts -file server-certificate.pem -keypass password -storepass password -keystore clienttruststore.jks

客戶端證書

同樣地，我們生成客戶端的密鑰存儲并導(dǎo)出其證書。

keytool -genkey -alias clientkey -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore clientkeystore.p12 -storepass password -ext san=ip:127.0.0.1,dns:localhost

keytool -exportcert -keystore clientkeystore.p12 -alias clientkey -storepass password -rfc -file client-certificate.pem

keytool -import -trustcacerts -file client-certificate.pem -keypass password -storepass password -keystore servertruststore.jks

在最后一條命令中，我們把客戶的證書添加到服務(wù)器的信任存儲中。

Java 服務(wù)端實(shí)現(xiàn)

指北君在這里使用Java socket 來實(shí)現(xiàn)。SSLSocketEchoServer類得到了一個(gè)SSLServerSocket，以輕松支持TLS認(rèn)證。我們只需要指定密碼和協(xié)議，剩下的只是一個(gè)標(biāo)準(zhǔn)的應(yīng)答服務(wù)器，回復(fù)與客戶端發(fā)送的相同的信息。

public class SSLSocketEchoServer {

    static void startServer(int port) throws IOException {

        ServerSocketFactory factory = SSLServerSocketFactory.getDefault();
        try (SSLServerSocket listener = (SSLServerSocket) factory.createServerSocket(port)) {
            listener.setNeedClientAuth(true);
            listener.setEnabledCipherSuites(new String[] { "TLS_AES_128_GCM_SHA256" });
            listener.setEnabledProtocols(new String[] { "TLSv1.3" });
            System.out.println("listening for messages...");
            try (Socket socket = listener.accept()) {
                
                InputStream is = new BufferedInputStream(socket.getInputStream());
                byte[] data = new byte[2048];
                int len = is.read(data);
                
                String message = new String(data, 0, len);
                OutputStream os = new BufferedOutputStream(socket.getOutputStream());
                System.out.printf("server received %d bytes: %s%n", len, message);
                String response = message + " processed by server";
                os.write(response.getBytes(), 0, response.getBytes().length);
                os.flush();
            }
        }
    }
}

服務(wù)器監(jiān)聽客戶端的連接。listener.setNeedClientAuth(true) 的調(diào)用要求客戶端與服務(wù)器共享其證書。在后臺 SSLServerSocket 實(shí)現(xiàn)使用TLS協(xié)議對客戶端進(jìn)行認(rèn)證。

在我們的例子中，自簽的客戶證書在服務(wù)器的信任存儲中，因此 socket 將接受連接。服務(wù)器繼續(xù)使用InputStream 來讀取消息。然后，它使用OuputStream來回傳傳入的消息，并附加一個(gè)確認(rèn)信息。

Java客戶端實(shí)現(xiàn)

與我們處理服務(wù)器的方式相同，客戶端的實(shí)現(xiàn)是一個(gè)簡單的SSLScocketClient類。

public class SSLScocketClient {

    static void startClient(String host, int port) throws IOException {

        SocketFactory factory = SSLSocketFactory.getDefault();
        try (SSLSocket socket = (SSLSocket) factory.createSocket(host, port)) {
            
            socket.setEnabledCipherSuites(new String[] { "TLS_AES_128_GCM_SHA256" });
            socket.setEnabledProtocols(new String[] { "TLSv1.3" });
            
            String message = "Hello World";
            System.out.println("sending message: " + message);
            OutputStream os = new BufferedOutputStream(socket.getOutputStream());
            os.write(message.getBytes());
            os.flush();
            
            InputStream is = new BufferedInputStream(socket.getInputStream());
            byte[] data = new byte[2048];
            int len = is.read(data);
            System.out.printf("client received %d bytes: %s%n", len, new String(data, 0, len));
        }
    }
}

首先，我們創(chuàng)建一個(gè)SSLSocket，與服務(wù)器建立一個(gè)連接。在后臺，該socket將設(shè)置TLS連接建立握手。作為握手的一部分，客戶端將驗(yàn)證服務(wù)器的證書并檢查它是否在客戶端的信任庫中。

一旦連接成功建立，客戶端將使用輸出流向服務(wù)器發(fā)送一個(gè)消息。然后，它用輸入流讀取服務(wù)器的響應(yīng)。

運(yùn)行應(yīng)用程序

要運(yùn)行服務(wù)器，請打開一個(gè)命令窗口并運(yùn)行。

java -Djavax.net.ssl.keyStore=/path/to/serverkeystore.p12  
  -Djavax.net.ssl.keyStorePassword=password 
  -Djavax.net.ssl.trustStore=/path/to/servertruststore.jks  
  -Djavax.net.ssl.trustStorePassword=password 
  cn.javanorth.httpsclientauthentication.SSLSocketEchoServer

我們指定javax.net.ssl.keystore和javax.net.ssl.trustStore的系統(tǒng)屬性指向我們之前用keytool創(chuàng)建的serverkeystore.p12和servertruststore.jks文件。

為了運(yùn)行客戶端，我們打開另一個(gè)命令窗口并運(yùn)行。

java -Djavax.net.ssl.keyStore=/path/to/clientkeystore.p12  
  -Djavax.net.ssl.keyStorePassword=password 
  -Djavax.net.ssl.trustStore=/path/to/clienttruststore.jks  
  -Djavax.net.ssl.trustStorePassword=password 
  cn.javanorth.httpsclientauthentication.SSLScocketClient

同樣，我們設(shè)置javax.net.ssl.keyStore和javax.net.ssl.trustStore系統(tǒng)屬性，使其指向我們之前用keytool生成的clientkeystore.p12和clienttruststore.jks文件。

總結(jié)

今天小編寫了一個(gè)簡單的客戶端-服務(wù)器的Java實(shí)現(xiàn)，來演示使用服務(wù)器和客戶端證書做雙向的TLS認(rèn)證。