Let's Go!

java_https_ssl

上一篇 / 下一篇 2009-07-16 21:21:52 / 个人分类：JAVA学习&编程相关

用JSSE定制SSL连接

JSSE（Java Security Socket Extension，Java安全套接字扩展）是Sun为了解决在Internet上的安全通讯而推出的解决方案。它实现了SSL和TSL（传输层安全）协议。在JSSE中包含了数据加密，服务器验证，消息完整性和客户端验证等技术。通过使用JSSE，开发人员可以在客户机和服务器之间通过TCP/IP协议安全地传输数据。这篇文章主要描述如何使用JSSE接口来控制SSL连接。
　　首先我通过一个简单的客户机／服务器程序来介绍如何利用JSSE进行编程。当建立客户端时，我们需要配置KeyStore和TrustStore文件，这样在程序中我们才可以从客户端的文件系统中加载它们。然后文章将讨论授权和身份验证方面的问题。通过从KeyStore中选择不同的授权，客户端程序可以连接到不同的服务器。
　　运行例子程序
　　下载例子程序
　　在运行JSSE程序前，你需要正确安装JSSE。如果你安装了J2SE 1.4，JSSE已经被自动安装并配置好了，如果你使用的是其他版本的Java，你需要从官方站点上下载并安装JSSE，安装过程这里就不再赘述。由于JSSE是在J2SE 1.4中才成为标准的，并且J2SE 1.4中的JSSE和以前的JSSE有一些细微的差别，而且文中的例子都是在J2SE 1.4下调试的，因此推荐你使用J2SE 1.4运行这些例子。
　　
　　在深入介绍JSSE之前，让我们来一个简单的客户机／服务器程序，程序中包含了两个文件：SimpleSSLServer和SimpleSSLClient。在运行程序之前，你需要配置下面这些KeyStore和TrestStore文件：
　　· 一个客户端的KeyStore文件，该文件中包含了对Alice和Bob的授权。
　　· 一个服务器端的KeyStore文件，该文件中包含了对server的授权。
　　· 一个名为clientTrust的客户端TrustStore文件，该文件中包含了对server的授权。
　　· 一个名为serverTrust的服务器端TrustStore文件，该文件中包含了对Alice和Bob的授权。
　　使用keytool可以帮助你创建这些文件（该工具在Java的bin目录下）：
　　· 一个客户端的KeyStore文件，该文件中包含了对Alice和Bob的授权。
　　在命令窗口中输入下面的命令：
　　keytool -genkey -alias alice -keystore clientKeys
　　窗口中会出现下面的提示，根据提示输入相应的信息：
　　
　　输入keystore密码： password
　　您的名字与姓氏是什么？
　　 [Unknown]： Alice
　　您的组织单位名称是什么？
　　 [Unknown]： Development
　　您的组织名称是什么？
　　 [Unknown]： DCQ
　　您所在的城市或区域名称是什么？
　　 [Unknown]： ChongQing
　　您所在的州或省份名称是什么？
　　 [Unknown]： ChongQing
　　该单位的两字母国家代码是什么
　　 [Unknown]： CH
　　CN=Alice, U=Development, O=DCQ, L=ChongQing, ST=ChongQing, C=CH 正确吗？
　　 [否]：是
　　输入的主密码
　　（如果和 keystore 密码相同，按回车）：
　　通过相同的方式可以建立对Bob的授权。
　　keytool -genkey -alias bob -keystore clientKeys
　　注意在名字与姓氏一栏中填写Bob。在完成后可以键入下面的命令来检测是否已经正确完成了授权。
　　keytool -list -v -keystore clientKeys
　　· 一个服务器端的KeyStore文件，该文件中包含了对server的授权。
　　
　　在命令窗口中键入下面的命令：
　　keytool -genkey -alias server -keystore serverKeys
　　注意将密码设为password，名字与姓氏设定为Server。完成授权后同样可以通过上面提到的命令来检测。
　　· 一个名为clientTrust的客户端TrustStore文件，该文件中包含了对server的授权。以及一个名为serverTrust的服务器端TrustStore文件，该文件中包含了对Alice和Bob的授权。
　　keytool -export -alias server -keystore clientKeys -file server.cer
　　输入keystore密码： password
　　保存在文件中的认证
　　keytool -export -alias alice -keystore clientKeys -file alice.cer
　　输入keystore密码： password
　　保存在文件中的认证
　　keytool -export -alias bob -keystore clientKeys -file bob.cer
　　输入keystore密码： password
　　保存在文件中的认证
　　这样keytool就在当前目录下创建了三个授权文件。然后我们将server.cer文件导入到clientTrust文件中；将alice.cer和bob.cer导入到serverTruest文件中：
　　
　　keytool -import -alias server -keystore clientTrust -file server.cer
　　keytool -import -alias alice -keystore serverTrust -file alice.cer
　　keytool -import -alias bob -keystore serverTrust -file bob.cer
　　到目前为止，在当前目录下包含clientKeys，serverKeys，clientTrust，serverTrust四个文件。完成了KeyStore和TrustStore的设置后就可以运行例子程序了。首先需要运行服务器程序：
　　java -Djavax.net.ssl.keyStore=serverKeys
　　 -Djavax.net.ssl.keyStorePassword=password
　　 -Djavax.net.ssl.trustStore=serverTrust
　　 -Djavax.net.ssl.trustStorePassword=password SimpleSSLServer
　　在命令行中我们指定了keyStore属性为serverKeys。由于服务器程序需要获得客户端的授权信息，我们指定trustStore为serverTrust。这样SSLSimpleServer就可以验证由SSLSimpleClient提供的授权信息。当服务器程序成功运行后，你会看到下面的提示：
　　SimpleSSLServer running on port 49152
　　这时候服务器会等待客户端发出建立连接的申请。如果你希望在另一个端口上运行服务器程序，可以在命令中指定-port xxx参数，其中xxx是端口号。
　　
　　然后在另一个命令窗口中运行客户端程序：
　　
　　java -Djavax.net.ssl.keyStore=clientKeys
　　 -Djavax.net.ssl.keyStorePassword=password
　　 -Djavax.net.ssl.trustStore=clientTrust
　　 -Djavax.net.ssl.trustStorePassword=password SimpleSSLClient
　　客户端程序会试图向本机的49152端口建立SSL连接。同样你可以通过-port参数指定端口号，也可以通过-host参数指定主机名称。当连接成功后，会出现下面的提示信息：
　　
　　Connected
　　同时在服务器端会提示用户客户端已经连接成功。
　　
　　SimpleSSLServer
　　
　　让我们先来看一下SimpleSSLServer。在main（）方法中，程序获得了缺省的SSLServerSocketFactory对象；然后利用SSLServerSocketFactory创建一个SimpleSSLServer对象，最后调用start（）方法启动SimpleSSLServer对象。
　　
　　SSLServerSocketFactory ssf=