一· 快速命令

1.生成ca证书

openssl req -new -x509 -keyout ca.key -out ca.crt -days 36500
在本目录得到 ca.key 和 ca.crt 文件

2.生成服务端和客户端私钥

openssl genrsa -des3 -out server.key 1024
openssl genrsa -des3 -out client.key 1024

3.根据 key 生成 csr 文件

openssl req -new -key server.key -out server.csr
openssl req -new -key client.key -out client.csr

4.根据 ca 证书 server.csr 和 client.csr 生成 x509 证书

openssl x509 -req -days 36500 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
openssl x509 -req -days 36500 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt

5.将 key 文件进行 PKCS#8 编码

openssl pkcs8 -topk8 -in server.key -out pkcs8_server.key -nocrypt
openssl pkcs8 -topk8 -in client.key -out pkcs8_client.key -nocrypt

最后得到有用的文件分别为

  • 服务器端: ca.crt、server.crt、pkcs8_server.key
  • 客户端端: ca.crt、client.crt、pkcs8_client.key

6. 查看命令

openssl 查看证书细节

打印证书的过期时间

openssl x509 -in signed.crt -noout -dates

打印出证书的内容:

openssl x509 -in cert.pem -noout -text

打印出证书的系列号

openssl x509 -in cert.pem -noout -serial

打印出证书的拥有者名字

openssl x509 -in cert.pem -noout -subject

以RFC2253规定的格式打印出证书的拥有者名字

openssl x509 -in cert.pem -noout -subject -nameopt RFC2253

在支持UTF8的终端一行过打印出证书的拥有者名字

openssl x509 -in cert.pem -noout -subject -nameopt oneline -nameopt -escmsb

打印出证书的MD5特征参数

openssl x509 -in cert.pem -noout -fingerprint

打印出证书的SHA特征参数

openssl x509 -sha1 -in cert.pem -noout -fingerprint

把PEM格式的证书转化成DER格式

openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER

把一个证书转化成CSR

openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem

给一个CSR进行处理,颁发字签名证书,增加CA扩展项

openssl x509 -req -in careq.pem -extfile openssl.cnf -extensions v3_ca -signkey key.pem -out cacert.pem

给一个CSR签名,增加用户证书扩展项

openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr -CA cacert.pem -CAkey key.pem -CAcreateserial

查看csr文件细节:

openssl req -in my.csr -noout -text

二· 部分参考代码

服务端的代码:


@Slf4j

public class HidsSslContextBuilder {

    private final static String serverCrt = "/static/keys/server.crt";

    private final static String serverKey = "/static/keys/pkcs8_server.key";

    private final static String caCrt = "/static/keys/ca.crt";

    private final static String keyPassword = "";

    public static SslContext build(ClientAuth clientAuth) {

        InputStream certInput = null;

        InputStream priKeyInput = null;

        InputStream caInput = null;

        try {

            certInput = HidsSslContextBuilder.class.getResourceAsStream(serverCrt);

            priKeyInput = HidsSslContextBuilder.class.getResourceAsStream(serverKey);

            caInput = HidsSslContextBuilder.class.getResourceAsStream(caCrt);

            return SslContextBuilder.forServer(certInput, priKeyInput)

                    .clientAuth(clientAuth)

                    .trustManager(caInput).build();

        } catch (Throwable e) {

            log.error("HidsSslContextBuilder", e);

        } finally {

            IOUtils.closeQuietly(certInput);

            IOUtils.closeQuietly(priKeyInput);

            IOUtils.closeQuietly(caInput);

        }

        return null;

    }

    public static SslContext buildSelfSignedCer() {

        try {

            SelfSignedCertificate ssc = new SelfSignedCertificate();

            return SslContextBuilder.forServer(ssc.certificate(), ssc.privateKey())

                    .build();

        } catch (Throwable e) {

            log.error("buildSelfSignedCer", e);

        }

        return null;

    }

}

...

@Override

    protected void initChannel(SocketChannel socketChannel) throws Exception {

        ChannelPipeline pipeline = socketChannel.pipeline();

        // INBOUND: from head to tail

        // OUTBOUND: from tail to head

        // ssl

        if (sslContext != null) {

            pipeline.addLast(sslContext.newHandler(socketChannel.alloc()));

        }

        pipeline.addLast("TLVDecoder", new TLVDecoder());

        pipeline.addLast("TLVEncoder", new TLVEncoder());

        pipeline.addLast("Decompressor", new Decompressor());

        pipeline.addLast("Compressor", new Compressor());

        pipeline.addLast("tlvChannelHandler", tlvChannelHandler);

        // 增加channel对应的数据

        prepareChannelContext(socketChannel);

    }

客户端的测试代码

public class ClientChannelTest {

    @Test

    public void testClient() throws Throwable {

        String host = "0.0.0.0";

        int port = 8888;

        EventLoopGroup workerGroup = new NioEventLoopGroup();

        try {

            final SslContext sslCtx = SslContextBuilder.forClient()

                    // 双向验证

//                    .keyManager(this.getClass().getResourceAsStream("/keys/client.crt"),

//                            this.getClass().getResourceAsStream("/keys/pkcs8_client.key"))

                    // CA证书,验证对方证书

                    .trustManager(this.getClass().getResourceAsStream("/keys/ca.crt"))

                    // 不验证SERVER

                    // .trustManager(InsecureTrustManagerFactory.INSTANCE)

                    .build();

            Bootstrap b = new Bootstrap(); // (1)

            b.group(workerGroup); // (2)

            b.channel(NioSocketChannel.class); // (3)

            b.option(ChannelOption.SO_KEEPALIVE, true); // (4)

            b.handler(new ChannelInitializer<SocketChannel>() {

                @Override

                public void initChannel(SocketChannel ch) throws Exception {

                    ch.pipeline().addLast(sslCtx.newHandler(ch.alloc()));

                    ch.pipeline().addLast(new TLVDecoder());

                    ch.pipeline().addLast(new TLVEncoder());

                    ch.pipeline().addLast("Decompressor", new Decompressor());

                    ch.pipeline().addLast("Compressor", new Compressor());

                    ch.pipeline().addLast(new ClientHandler());

                }

            });

            // Start the client.

            ChannelFuture f = b.connect(host, port).sync(); // (5)

            // Wait until the connection is closed.

            f.channel().closeFuture().sync();

        } finally {

            workerGroup.shutdownGracefully();

        }

    }

}

在Channel上绑定链接上下文信息,类似Session的功能,存储在Channel中的Attr中。

public class ChannelUtils {

    public static ClientContext getOrCreate(Channel socketChannel) {

        AttributeKey<ClientContext> key = AttributeKey.valueOf(ClientContext.class.toString());

        Attribute<ClientContext> attr = socketChannel.attr(key);

        if (attr.get() == null) {

            attr.set(createClientContext(socketChannel));

        }

        return attr.get();

    }

    private static ClientContext createClientContext(Channel socketChannel) {

        return new DefaultClientContext(socketChannel.pipeline());

    }

}

三· 参考

Netty SSL双向验证的更多相关文章

  1. Netty实现SSL双向验证完整实例

    Netty实现SSL双向验证完整实例 博客分类: netty nettyssl自签证书  一.证书准备 要使用ssl双向验证,就必须先要生成服务端和客户端的证书,并相互添加信任,具体流程如下(本人调试 ...

  2. 请给你的短信验证码接口加上SSL双向验证

    序言 去年年底闲来几天,有位同事专门在网上找一些注册型的app和网站,研究其短信接口是否安全,半天下来找到30来家,一些短信接口由于分析难度原因,没有继续深入,但差不多挖掘到20来个,可以肆意被调用, ...

  3. nginx配置ssl双向验证 nginx https ssl证书配置

    1.安装nginx 参考<nginx安装>:http://www.ttlsa.com/nginx/nginx-install-on-linux/ 如果你想在单IP/服务器上配置多个http ...

  4. MQTT研究之EMQ:【SSL双向验证】

    EMQ是当前MQTT中,用于物联网领域中比较出色的一个broker,今天我这里要记录和分享的是关于SSL安全通信的配置和注意细节. 环境: 1. 单台Linux CentOS7.2系统,安装一个EMQ ...

  5. MQTT研究之EMQ:【SSL证书链验证】

    1. 创建证书链(shell脚本) 客户端证书链关系: rootCA-->chainca1-->chainca2-->chainca3 ca caCert1 caCert2 caCe ...

  6. Netty SSL安全配置

    Netty SSL安全配置 [TOC] 摘要 在研发蜂鸟部署平台的过程中,涉及到平台网关和前置agent的通信加密,虽然目前软件在内网中,但是由于蜂鸟平台和agent的特殊性,一旦被控制,部署的软件就 ...

  7. 使用HttpClient连接池进行https单双向验证

    https单双向验证环境的搭建参见:http://www.cnblogs.com/YDDMAX/p/5368404.html 一.单向握手 示例程序: package com.ydd.study.he ...

  8. SSL双向认证java实现(转)

    本文通过模拟场景,介绍SSL双向认证的java实现 默认的情况下,我认为读者已经对SSL原理有一定的了解,所以文章中对SSL的原理,不做详细的介绍. 如果有这个需要,那么通过GOOGLE,可以搜索到很 ...

  9. linux:Nginx+https双向验证(数字安全证书)

    本文由邓亚运提供 Nginx+https双向验证 说明: 要想实现nginx的https,nginx必须启用http_ssl模块:在编译时加上--with-http_ssl_module参数就ok.另 ...

  10. SSL双向认证(高清版)

    介绍了SSL双向认证的一些基本问题,以及使用Nginx+PHP基于它搭建https的Webservice. 之前的方式只是实现1:1的模式,昨天同事继续实现了n:1的模式,这里我再整理记录下. 由于n ...

随机推荐

  1. 4.2.2 等差数列的前n项和公式

    ${\color{Red}{欢迎到学科网下载资料学习 }}$ [ [基础过关系列]高二数学同步精品讲义与分层练习(人教A版2019)] ( https://www.zxxk.com/docpack/2 ...

  2. 对于python中GIL的一些理解与代码实现

    近期看了一些关于GIL的一些内容,敲一下代码看看效果. # coding:utf-8 # GIL(Global Interpreter Lock):他只允许任何时刻只有一个线程处于执行状态,即使是在具 ...

  3. 对抗生成网络(GAN)简单介绍

    对抗生成网络主要由生成网络和判别网络构成,GAN在图像领域使用较多.利用生成网络生成假的图像,然后利用判别器是否能判断该图像是假的. 1.用于医学图像分割,一般我们可以利用一个U-Net网络生成分割结 ...

  4. vue 的常用指令以及作用 ·

    1. v-model 多用于表单元素实现双向数据绑定(同 angular 中的 ng-model) 2. v-for 格式: v-for="字段名 in(of) 数组 json" ...

  5. package.json文件干什么的 ?

    package.json 是项目描述文件,记录了当前项目的信息,比如项目的名字,版本,作者,还有所依赖的第三方模块 : dependencies 是项目依赖,是项目上线时要依赖的第三方包 : devd ...

  6. 一、Spring Boot集成Spring Security专栏

    一.Spring Boot集成Spring Security专栏 一.Spring Boot集成Spring Security之自动装配 二.实现功能及软件版本说明 使用Spring Boot集成Sp ...

  7. kotlin类与对象——>委托、委托属性

    1.委托 1.1 委托的实现 委托模式已经证明是实现继承的一个很好的替代方式,而 Kotlin 可以零样板代码地原生支持它. Derived 类可以通过将其所有公有成员都委托给指定对象来实现一个接口 ...

  8. 一图为你揭秘云数据库GaussDB管理平台亮点

    云数据库GaussDB管理平台(TPOPS)是一款即开即用.稳定可靠.管理便捷的数据库运维管理平台.通过该平台,用户可以快速部署安装GauSSDB,实现智能化运维,大幅度提升运维和管理效率.一图带你揭 ...

  9. OpenFunction 应用系列之一: 以 Serverless 的方式实现 Kubernetes 日志告警

    概述 当我们将容器的日志收集到消息服务器之后,我们该如何处理这些日志?部署一个专用的日志处理工作负载可能会耗费多余的成本,而当日志体量骤增.骤降时亦难以评估日志处理工作负载的待机数量.本文提供了一种基 ...

  10. 基于pandas的数据清洗

    数据清洗是数据科学和数据分析中非常重要的一个步骤.它指的是在数据分析之前,对数据进行预处理,以确保数据的质量和一致性.使用Python的pandas库进行数据清洗是一种常见的做法,因为pandas提供 ...