一個簡單的SSL Server和SSL Client來說解Java環境下SSL的通訊原理

首先咱們先回顧一下常規的Java Socket編程。在Java下寫一個Socket服務器和客戶端的例子仍是比較簡單的。如下是服務端的代碼：

Java代碼  

1. package org.bluedash.tryssl;  

2.   

3. import java.io.BufferedReader;  

4. import java.io.IOException;  

5. import java.io.InputStreamReader;  

6. import java.io.PrintWriter;  

7. import java.net.ServerSocket;  

8. import java.net.Socket;  

9.   

10. public class Server extends Thread {  

11.     private Socket socket;  

12.   

13.     public Server(Socket socket) {  

14.         this.socket = socket;  

15.     }  

16.   

17.     public void run() {  

18.         try {  

19.             BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));  

20.             PrintWriter writer = new PrintWriter(socket.getOutputStream());  

21.   

22.             String data = reader.readLine();  

23.             writer.println(data);  

24.             writer.close();  

25.             socket.close();  

26.         } catch (IOException e) {  

27.   

28.         }  

29.     }  

30.       

31.     public static void main(String[] args) throws Exception {  

32.         while (true) {  

33.             new Server((new ServerSocket(8080)).accept()).start();  

34.         }  

35.     }  

36. }  

服務端很簡單：偵聽8080端口，並把客戶端發來的字符串返回去。下面是客戶端的代碼：

Java代碼  

1. package org.bluedash.tryssl;  

2.   

3. import java.io.BufferedReader;  

4. import java.io.InputStreamReader;  

5. import java.io.PrintWriter;  

6. import java.net.Socket;  

7.   

8. public class Client {  

9.   

10.     public static void main(String[] args) throws Exception {  

11.   

12.         Socket s = new Socket("localhost", 8080);  

13.   

14.         PrintWriter writer = new PrintWriter(s.getOutputStream());  

15.         BufferedReader reader = new BufferedReader(new InputStreamReader(s.getInputStream()));  

16.         writer.println("hello");  

17.         writer.flush();  

18.         System.out.println(reader.readLine());  

19.         s.close();  

20.     }  

21.   

22. }  

客戶端也很是簡單：向服務端發起請求，發送一個"hello"字串，而後得到服務端的返回。把服務端運行起來後，執行客戶端，咱們將獲得"hello"的返回。

就是這樣一套簡單的網絡通訊的代碼，咱們來把它改形成使用SSL通訊。在SSL通訊協議中，咱們都知道首先服務端必須有一個數字證書，當客戶端連 接到服務端時，會獲得這個證書，而後客戶端會判斷這個證書是不是可信的，若是是，則交換信道加密密鑰，進行通訊。若是不信任這個證書，則鏈接失敗。

所以，咱們首先要爲服務端生成一個數字證書。Java環境下，數字證書是用keytool生成的，這些證書被存儲在store的概念中，就是證書倉庫。咱們來調用keytool命令爲服務端生成數字證書和保存它使用的證書倉庫：

Bash代碼  

1. keytool -genkey -v -alias bluedash-ssl-demo-server -keyalg RSA -keystore ./server_ks -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,C=cn" -storepass server -keypass 123123  

這樣，咱們就將服務端證書bluedash-ssl-demo-server保存在了server_ksy這個store文件當中。有關keytool的用法在本文中就再也不多贅述。執行上面的命令獲得以下結果：

Bash代碼  

1. Generating 1,024 bit RSA key pair and self-signed certificate (SHA1withRSA) with a validity of 90 days  

2.         for: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn  

3. [Storing ./server_ks]  

而後，改造咱們的服務端代碼，讓服務端使用這個證書，並提供SSL通訊：

Java代碼  

1. package org.bluedash.tryssl;  

2.   

3. import java.io.BufferedReader;  

4. import java.io.FileInputStream;  

5. import java.io.IOException;  

6. import java.io.InputStreamReader;  

7. import java.io.PrintWriter;  

8. import java.net.ServerSocket;  

9. import java.net.Socket;  

10. import java.security.KeyStore;  

11.   

12. import javax.net.ServerSocketFactory;  

13. import javax.net.ssl.KeyManagerFactory;  

14. import javax.net.ssl.SSLContext;  

15. import javax.net.ssl.SSLServerSocket;  

16.   

17. public class SSLServer extends Thread {  

18.     private Socket socket;  

19.   

20.     public SSLServer(Socket socket) {  

21.         this.socket = socket;  

22.     }  

23.   

24.     public void run() {  

25.         try {  

26.             BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));  

27.             PrintWriter writer = new PrintWriter(socket.getOutputStream());  

28.   

29.             String data = reader.readLine();  

30.             writer.println(data);  

31.             writer.close();  

32.             socket.close();  

33.         } catch (IOException e) {  

34.   

35.         }  

36.     }  

37.   

38.     private static String SERVER_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/server_ks";  

39.     private static String SERVER_KEY_STORE_PASSWORD = "123123";  

40.   

41.     public static void main(String[] args) throws Exception {  

42.         System.setProperty("javax.net.ssl.trustStore", SERVER_KEY_STORE);  

43.         SSLContext context = SSLContext.getInstance("TLS");  

44.           

45.         KeyStore ks = KeyStore.getInstance("jceks");  

46.         ks.load(new FileInputStream(SERVER_KEY_STORE), null);  

47.         KeyManagerFactory kf = KeyManagerFactory.getInstance("SunX509");  

48.         kf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());  

49.           

50.         context.init(kf.getKeyManagers(), null, null);  

51.   

52.         ServerSocketFactory factory = context.getServerSocketFactory();  

53.         ServerSocket _socket = factory.createServerSocket(8443);  

54.         ((SSLServerSocket) _socket).setNeedClientAuth(false);  

55.   

56.         while (true) {  

57.             new SSLServer(_socket.accept()).start();  

58.         }  

59.     }  

60. }  

能夠看到，服務端的Socket準備設置工做大大增長了，增長的代碼的做用主要是將證書導入並進行使用。此外，所使用的Socket變成了 SSLServerSocket，另外端口改到了8443（這個不是強制的，僅僅是爲了遵照習慣）。另外，最重要的一點，服務端證書裏面的CN必定和服務 端的域名統一，咱們的證書服務的域名是localhost，那麼咱們的客戶端在鏈接服務端時必定也要用localhost來鏈接，不然根據SSL協議標 準，域名與證書的CN不匹配，說明這個證書是不安全的，通訊將沒法正常運行。

有了服務端，咱們原來的客戶端就不能使用了，必需要走SSL協議。因爲服務端的證書是咱們本身生成的，沒有任何受信任機構的簽名，因此客戶端是無 法驗證服務端證書的有效性的，通訊必然會失敗。因此咱們須要爲客戶端建立一個保存全部信任證書的倉庫，而後把服務端證書導進這個倉庫。這樣，當客戶端鏈接 服務端時，會發現服務端的證書在本身的信任列表中，就能夠正常通訊了。

所以如今咱們要作的是生成一個客戶端的證書倉庫，由於keytool不能僅生成一個空白倉庫，因此和服務端同樣，咱們仍是生成一個證書加一個倉庫（客戶端證書加倉庫）：

Bash代碼  

1. keytool -genkey -v -alias bluedash-ssl-demo-client -keyalg RSA -keystore ./client_ks -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,C=cn" -storepass client -keypass 456456  

結果以下：

Bash代碼  

1. Generating 1,024 bit RSA key pair and self-signed certificate (SHA1withRSA) with a validity of 90 days  

2.         for: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn  

3. [Storing ./client_ks]  

接下來，咱們要把服務端的證書導出來，並導入到客戶端的倉庫。第一步是導出服務端的證書：

Bash代碼  

1. keytool -export -alias bluedash-ssl-demo-server -keystore ./server_ks -file server_key.cer  

執行結果以下：

Bash代碼  

1. Enter keystore password:  server  

2. Certificate stored in file <server_key.cer>  

而後是把導出的證書導入到客戶端證書倉庫：

Bash代碼  

1. keytool -import -trustcacerts -alias bluedash-ssl-demo-server -file ./server_key.cer -keystore ./client_ks  

結果以下：

Bash代碼  

1. Enter keystore password:  client  

2. Owner: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn  

3. Issuer: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn  

4. Serial number: 4c57c7de  

5. Valid from: Tue Aug 03 15:40:14 CST 2010 until: Mon Nov 01 15:40:14 CST 2010  

6. Certificate fingerprints:  

7.          MD5:  FC:D4:8B:36:3F:1B:30:EA:6D:63:55:4F:C7:68:3B:0C  

8.          SHA1: E1:54:2F:7C:1A:50:F5:74:AA:63:1E:F9:CC:B1:1C:73:AA:34:8A:C4  

9.          Signature algorithm name: SHA1withRSA  

10.          Version: 3  

11. Trust this certificate? [no]:  yes  

12. Certificate was added to keystore  

好，準備工做作完了，咱們來撰寫客戶端的代碼：

Java代碼  

1. package org.bluedash.tryssl;  

2.   

3. import java.io.BufferedReader;  

4. import java.io.InputStreamReader;  

5. import java.io.PrintWriter;  

6. import java.net.Socket;  

7.   

8. import javax.net.SocketFactory;  

9. import javax.net.ssl.SSLSocketFactory;  

10.   

11. public class SSLClient {  

12.   

13.     private static String CLIENT_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/client_ks";  

14.   

15.     public static void main(String[] args) throws Exception {  

16.         // Set the key store to use for validating the server cert.  

17.         System.setProperty("javax.net.ssl.trustStore", CLIENT_KEY_STORE);  

18.           

19.         System.setProperty("javax.net.debug", "ssl,handshake");  

20.   

21.         SSLClient client = new SSLClient();  

22.         Socket s = client.clientWithoutCert();  

23.   

24.         PrintWriter writer = new PrintWriter(s.getOutputStream());  

25.         BufferedReader reader = new BufferedReader(new InputStreamReader(s  

26.                 .getInputStream()));  

27.         writer.println("hello");  

28.         writer.flush();  

29.         System.out.println(reader.readLine());  

30.         s.close();  

31.     }  

32.   

33.     private Socket clientWithoutCert() throws Exception {  

34.         SocketFactory sf = SSLSocketFactory.getDefault();  

35.         Socket s = sf.createSocket("localhost", 8443);  

36.         return s;  

37.     }  

38. }  

能夠看到，除了把一些類變成SSL通訊類之外，客戶端也多出了使用信任證書倉庫的代碼。以上，咱們便完成了SSL單向握手通訊。即：客戶端驗證服務端的證書，服務端不認證客戶端的證書。

以上即是Java環境下SSL單向握手的全過程。由於咱們在客戶端設置了日誌輸出級別爲DEBUG：

Java代碼  

1. System.setProperty("javax.net.debug", "ssl,handshake");  

所以咱們能夠看到SSL通訊的全過程，這些日誌能夠幫助咱們更具體地瞭解經過SSL協議創建網絡鏈接時的全過程。

結合日誌，咱們來看一下SSL雙向認證的全過程：



第一步: 客戶端發送ClientHello消息，發起SSL鏈接請求，告訴服務器本身支持的SSL選項（加密方式等）。

Bash代碼  

1. *** ClientHello, TLSv1  

第二步: 服務器響應請求，回覆ServerHello消息，和客戶端確認SSL加密方式：

Bash代碼  

1. *** ServerHello, TLSv1  

第三步: 服務端向客戶端發佈本身的公鑰。

第四步: 客戶端與服務端的協通溝通完畢，服務端發送ServerHelloDone消息：

Bash代碼  

1. *** ServerHelloDone  

第五步: 客戶端使用服務端給予的公鑰，建立會話用密鑰（SSL證書認證完成後，爲了提升性能，全部的信息交互就可能會使用對稱加密算法），並經過ClientKeyExchange消息發給服務器：

Bash代碼  

1. *** ClientKeyExchange, RSA PreMasterSecret, TLSv1  

第六步： 客戶端通知服務器改變加密算法，經過ChangeCipherSpec消息發給服務端：

Bash代碼  

1. main, WRITE: TLSv1 Change Cipher Spec, length = 1  

第七步： 客戶端發送Finished消息，告知服務器請檢查加密算法的變動請求：

Bash代碼  

1. *** Finished  

第八步：服務端確認算法變動，返回ChangeCipherSpec消息

Bash代碼  

1. main, READ: TLSv1 Change Cipher Spec, length = 1  

第九步：服務端發送Finished消息，加密算法生效：

Bash代碼  

1. *** Finished  

那麼如何讓服務端也認證客戶端的身份，即雙向握手呢？其實很簡單，在服務端代碼中，把這一行：

Java代碼  

1. ((SSLServerSocket) _socket).setNeedClientAuth(false);  

改爲：

Java代碼  

1. ((SSLServerSocket) _socket).setNeedClientAuth(true);  

就能夠了。可是，一樣的道理，如今服務端並無信任客戶端的證書，由於客戶端的證書也是本身生成的。因此，對於服務端，須要作一樣的工做：把客戶端的證書導出來，並導入到服務端的證書倉庫：

Bash代碼  

1. keytool -export -alias bluedash-ssl-demo-client -keystore ./client_ks -file client_key.cer  

2. Enter keystore password:  client  

3. Certificate stored in file <client_key.cer>  

Bash代碼  

1. keytool -import -trustcacerts -alias bluedash-ssl-demo-client -file ./client_key.cer -keystore ./server_ks  

2. Enter keystore password:  server  

3. Owner: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn  

4. Issuer: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn  

5. Serial number: 4c57c80b  

6. Valid from: Tue Aug 03 15:40:59 CST 2010 until: Mon Nov 01 15:40:59 CST 2010  

7. Certificate fingerprints:  

8.          MD5:  DB:91:F4:1E:65:D1:81:F2:1E:A6:A3:55:3F:E8:12:79  

9.          SHA1: BF:77:56:61:04:DD:95:FC:E5:84:48:5C:BE:60:AF:02:96:A2:E1:E2  

10.          Signature algorithm name: SHA1withRSA  

11.          Version: 3  

12. Trust this certificate? [no]:  yes  

13. Certificate was added to keystore  

完成了證書的導入，還要在客戶端須要加入一段代碼，用於在鏈接時，客戶端向服務端出示本身的證書：

Java代碼  

1. package org.bluedash.tryssl;  

2.   

3. import java.io.BufferedReader;  

4. import java.io.FileInputStream;  

5. import java.io.InputStreamReader;  

6. import java.io.PrintWriter;  

7. import java.net.Socket;  

8. import java.security.KeyStore;  

9. import javax.net.SocketFactory;  

10. import javax.net.ssl.KeyManagerFactory;  

11. import javax.net.ssl.SSLContext;  

12. import javax.net.ssl.SSLSocketFactory;  

13.   

14. public class SSLClient {  

15.     private static String CLIENT_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/client_ks";  

16.     private static String CLIENT_KEY_STORE_PASSWORD = "456456";  

17.       

18.     public static void main(String[] args) throws Exception {  

19.         // Set the key store to use for validating the server cert.  

20.         System.setProperty("javax.net.ssl.trustStore", CLIENT_KEY_STORE);  

21.         System.setProperty("javax.net.debug", "ssl,handshake");  

22.         SSLClient client = new SSLClient();  

23.         Socket s = client.clientWithCert();  

24.           

25.         PrintWriter writer = new PrintWriter(s.getOutputStream());  

26.         BufferedReader reader = new BufferedReader(new InputStreamReader(s.getInputStream()));  

27.         writer.println("hello");  

28.         writer.flush();  

29.         System.out.println(reader.readLine());  

30.         s.close();  

31.     }  

32.   

33.     private Socket clientWithoutCert() throws Exception {  

34.         SocketFactory sf = SSLSocketFactory.getDefault();  

35.         Socket s = sf.createSocket("localhost", 8443);  

36.         return s;  

37.     }  

38.   

39.     private Socket clientWithCert() throws Exception {  

40.         SSLContext context = SSLContext.getInstance("TLS");  

41.         KeyStore ks = KeyStore.getInstance("jceks");  

42.           

43.         ks.load(new FileInputStream(CLIENT_KEY_STORE), null);  

44.         KeyManagerFactory kf = KeyManagerFactory.getInstance("SunX509");  

45.         kf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray());  

46.         context.init(kf.getKeyManagers(), null, null);  

47.           

48.         SocketFactory factory = context.getSocketFactory();  

49.         Socket s = factory.createSocket("localhost", 8443);  

50.         return s;  

51.     }  

52. }  

經過比對單向認證的日誌輸出，咱們能夠發現雙向認證時，多出了服務端認證客戶端證書的步驟：

Bash代碼  

1. *** CertificateRequest  

2. Cert Types: RSA, DSS  

3. Cert Authorities:  

4. <CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn>  

5. <CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn>  

6. *** ServerHelloDone  

Bash代碼  

1. *** CertificateVerify  

2. main, WRITE: TLSv1 Handshake, length = 134  

3. main, WRITE: TLSv1 Change Cipher Spec, length = 1  

在 @*** ServerHelloDone@ 以前，服務端向客戶端發起了須要證書的請求 @*** CertificateRequest@ 。

在客戶端向服務端發出 @Change Cipher Spec@ 請求以前，多了一步客戶端證書認證的過程 @*** CertificateVerify@ 。

客戶端與服務端互相認證證書的情景，可參考下圖：