JSSE(JAVA安全套接字扩展,JAVA Secure Socket Extension)是SSL和TLS的纯Java实现,,通过它可以透明地提供数据加密、服务器认证、信息完整性等功能,就像使用普通的套接字一样使用安全套接字。
开始前的准备
密钥格式
SSL/TLS协议通信就必须涉及到密钥和数字证书。
在Java支持JKS,JCEKS和PKCS#12格式的密钥。但是android不支持JKS,如果入到JKS文件,我们可以把他转换为BKS文件。
JKS文件(通常为.jks或.keystore,扩展名无关)可以通过Java原生工具——KeyTool生成;
JCKES文件也是JAVA中常用的密钥格式。JKS的Provider是SUN,在每个版本的JDK中都有,JCEKS的Provider是SUNJCE,1.4后我们都能够直接使用它。
PKCS#12文件(通常为.p12或.pfx,意味个人信息交换文件),可以通过OpenSSL工具产生。
BKS文件是android单独支持的文件。可以和JKS文件转换。
文件之间的关系
.cer格式文件俗称证书,但这个证书中没有私钥,只包含了公钥;
.pfx格式文件不仅包含了公钥,还包含了私钥,当然这个私钥是加密的,不输入密码是解不了密的;
.jks格式文件表示java密钥存储器(javakey store),它可以同时容纳N个公钥跟私钥,是一个密钥库;
.keystore格式文件其实跟.jks基本是一样的;
.truststore格式文件表示信任证书存储库,它和.keystore是一样的。仅仅包含了通信对方的公钥,当然你可以直接把通信对方的jks作为信任库。
使用SSL/TLS协议通信,如果是双向认证的话,则需要客户端和服务端各自有一组自己的密钥(keyStore)以及信任文件(trustStore),当然可以使用keyStore代替trustStore免去证书相互导入的麻烦。java中的类图如下(这里的keyStore是JDK中的keyStore。android内部也有一个keyStore,这里不去管它)
UML
- 通信核心类——SSLSocket和SSLServerSocket。对于使用过socket进行通信开发的朋友比较好理解,它们对应的就是Socket与ServerSocket,只是表示实现了SSL协议的Socket和ServerSocket,同时它们也是Socket与ServerSocket的子类。SSLSocket负责的事情包括设置加密套件、管理SSL会话、处理握手结束时间、设置客户端模式或服务器模式。
- 客户端与服务器端Socket工厂——SSLSocketFactory和SSLServerSocketFactory。在设计模式中工厂模式是专门用于生产出需要的实例,这里也是把SSLSocket、SSLServerSocket对象创建的工作交给这两个工厂类。
- SSL会话——SSLSession。安全通信握手过程需要一个会话,为了提高通信的效率,SSL协议允许多个SSLSocket共享同一个SSL会话,在同一个会话中,只有第一个打开的SSLSocket需要进行SSL握手,负责生成密钥及交换密钥,其余SSLSocket都共享密钥信息。
- SSL上下文——SSLContext。它是对整个SSL/TLS协议的封装,表示了安全套接字协议的实现。主要负责设置安全通信过程中的各种信息,例如跟证书相关的信息。并且负责构建SSLSocketFactory、SSLServerSocketFactory和SSLEngine等工厂类。
- SSL非阻塞引擎——SSLEngine。假如你要进行NIO通信,那么将使用这个类,它让通过过程支持非阻塞的安全通信。
- 密钥管理器——KeyManager。此接口负责选择用于证实自己身份的安全证书,发给通信另一方。KeyManager对象由KeyManagerFactory工厂类生成。
- 信任管理器——TrustManager。此接口负责判断决定是否信任对方的安全证书,TrustManager对象由TrustManagerFactory工厂类生成。
证书
- 生成服务器证书库
这里的地址需要改为服务器的ip,否则容易出错
keytool -validity 365 -genkey -v -alias server -keyalg RSA -keystore E:\test1\T1\server.keystore -dname "CN=192.168.0.036,OU=rongyiwang,O=rongyiwang,L=Shanghai,ST=Shanghai,c=cn" -storepass 123456 -keypass 123456
- 生成客户端证书库
keytool -validity 365 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore E:\test1\T1\client.p12 -dname "CN=client,OU=rongyiwang,O=rongyiwang,L=Shanghai,ST=Shanghai,c=cn" -storepass 123456 -keypass 123456
- 从客户端证书库中导出客户端证书
keytool -export -v -alias client -keystore E:\test1\T1\client.p12 -storetype PKCS12 -storepass 123456 -rfc -file E:\test1\T1\client.cer
- 从服务器证书库中导出服务器证书
keytool -export -v -alias server -keystore E:\test1\T1\server.keystore -storepass 123456 -rfc -file E:\test1\T1\server.cer
- 生成客户端信任证书库(由服务端证书生成的证书库)
这里我直接生产的bks类型的文件
keytool -import -v -alias server -file E:\test1\T1\server.cer -keystore E:\test1\T1\client.truststore -storepass 123456 -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider
- 将客户端证书导入到服务器证书库(使得服务器信任客户端证书)
keytool -import -v -alias client -file E:\test1\T1\client.cer -keystore E:\test1\T1\serverytrust.keystore -storepass 123456
- 查看证书库中的全部证书
keytool -list -keystore E:\test1\T1\server.keystore -storepass 123456
服务端
首先加载自己的密钥和信任密钥
1.keyStore
KeyStore serverKeyStore = KeyStore.getInstance("JKS");
serverKeyStore.load(new FileInputStream(serverKeyStoreFile), serverKeyStorePwd.toCharArray());
2.trustStore
KeyStore serverTrustKeyStore = KeyStore.getInstance("JKS");
serverTrustKeyStore.load(new FileInputStream(serverTrustKeyStoreFile), serverTrustKeyStorePwd.toCharArray());
3.建立SSLServerSocket
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(serverKeyStore, catServerKeyPwd.toCharArray());
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(serverTrustKeyStore);
SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
sslContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
SSLServerSocketFactory sslServerSocketFactory = sslContext.getServerSocketFactory();
SSLServerSocket sslServerSocket = (SSLServerSocket) sslServerSocketFactory.createServerSocket(18080);
sslServerSocket.setNeedClientAuth(true);
4.到了这里基本就和不同Socket编程差不多了,监听SSLServerSocket即可
while (true){
SSLSocket s = (SSLSocket) sslServerSocket.accept();
if(s!=null){
// do something
}
}
