`
kyleliu
  • 浏览: 28597 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

SSL/TLS服务器配置

阅读更多
Secure Sockets Layer (SSL) 和Transport Layer Security (TLS) 用于在客户端和服务器之间建立加密通信通道。

JAVA通过JSSE(javax.net.ssl) , 提供了对SSL和TLS的支持。通过其所提供的一系列API,开发者可以像使用普通Socket一样使用基于SSL或TLS的安全套接字,而不用关心 SSL和TLS协议的细节,例如握手的流程等等。这使利用JAVA开发安全的SSL/TLS服务器或客户端非常容易。

如何使用javax.net.ssl,在网上有很多相关的资料,这里就不多说了。

下面主要说一说如何配置SSL/TLS服务器。

Sun在JDK中提供了一个安全钥匙与证书的管理工具Keytool。Keytool 把钥匙,证书以及和与它们相关联的证书链储存到一个keystore,默任的实现keystore的是一个文件,它有一个密码保护存储在其中的内容。

配置一个SSL/TLS服务器需要以下几步:

假设服务器的域名是:test.server.net

1.为服务器的keystore,以存储证书等。
keytool -genkey -alias test.server.net -keyalg RSA -keystore <your_keystore_filename>
在执行上面的命令式,会要求用户输入一些信息,例如keystore密码,服务器区域等等,依照提示输入即可。

2.生成一个Certificate Signing Request (CSR),CSR是提供给证书颁发机构,供证书颁发机构依据其中信息生成证书的。
keytool -certreq -keyalg RSA -alias test.server.net -file certreq.csr -keystore <your_keystore_filename>

3.将CSR提供给证书颁发机构CA,等待CA颁发证书:
知名的CA有Versign, Thawte等。

4.在CA等网站上下载CA的根证书。

5.导入CA的根证书到keystore中
keytool -import -alias root -keystore <your_keystore_filename> -trustcacerts -file <filename_of_the_root_certificate>

6.导入CA颁发的证书到keystore,CA通常不会直接返回一个文件,而是通过网页或email以文本形式提供,需要用户自己创建一个文件,再将文本拷入。
keytool -import -alias test.server.net -keystore <your_keystore_filename> -trustcacerts -file <your_certificate_filename>

这样就完成对服务器的配置,最后为服务器指定这个keystore就可以了。


注意:一定导入正确的CA根证书,最常见的错误就是没有导入或导入错误的CA根证书。

注意:有些客户端,在使用SSL/TLS时必须通过域名来连接服务器,不能通过IP地址来连接。其所连接的服务器域名和服务器的证书的颁发对象必须相同。例如服务器的域名是test.server.net,那么服务器的证书也必须是颁发给test.server.net的。

证书颁发机构都会免费提供给用户用于测试的证书和相关的根证书,这种测试用的证书通常只有14天到30天不等的有效期。

在SSLServerSocket这个类中有一个setNeedClientAuth方法,当这个选项设为true时,客户端和服务器在协商时,服务器会要求客户端也提供验证信息,如果客户端不能提供,服务器就会终止会话。

这需要一些额外的配置:

假设客户端是alice,服务器是server


一个客户端的KeyStore文件,该文件中包含了对alice的授权:
keytool -genkey -alias alice -keystore <client_keystore_filename>

一个服务器端的KeyStore文件,该文件中包含了对server的授权。
keytool -genkey -alias server -keystore <server_keystore_filename>

一个名为clientTrust的客户端TrustStore文件,该文件中包含了对server的授权
keytool -export -alias server -keystore serverKeys -file server.cer
keytool -import -alias server -keystore clientTrust -file server.cer

一个名为serverTrust的服务器端TrustStore文件,该文件中包含了对alice的授权
keytool -export -alias alice -keystore clientKeys -file alice.cer
keytool -import -alias alice -keystore serverTrust -file alice.cer

将客户端的证书加入到服务器的TrustStore中,同时将服务器的证书加入到客户端的TrustStore中,使客户端和服务器互相信任。

分享到:
评论

相关推荐

    .net中为 SSL/TLS 安全通道建立信任关系

    在上面的代码中,我们使用了 `ServicePointManager` 来配置 SSL/TLS 安全通道的信任关系。在 .NET 1.1 中,我们使用 `CertificatePolicy` 属性来设置证书策略,而在 .NET 2.0 中,我们使用 `...

    Netty和SSL/TLS应用例子

    在启用SSL/TLS的情况下,我们需要在HTTP服务器的`ChannelInitializer`中,将`SslHandler`置于`HttpServerCodec`之前。这样,所有的HTTP数据都将经过SSL/TLS加密后再进行传输。 客户端在建立HTTPS连接时,也需要在`...

    JAVA实现的SSL/TLS双向认证源代码

    2. **配置SSL/TLS上下文**:在Java代码中,我们需要创建`SSLContext`实例,加载服务器和客户端的证书。这通常包括设置信任管理器和密钥管理器。 3. **服务器端实现**:在`TeslaSSLServer`类中,你需要设置...

    Implementing SSL / TLS Using Cryptography and PKI 1st Edition (无水印,数字版)

    - 强化服务器配置:合理配置服务器,比如禁用不需要的密码套件,启用HSTS等。 - 监控和日志:监控SSL/TLS连接,记录日志以便事后分析和取证。 5. 法律与合规性 - 遵守相关法律:在部署SSL/TLS时,需要考虑遵守有关...

    ssl/tls安全协议

    SSL/TLS(Secure Socket Layer/Transport Layer Security)安全协议是互联网上用于保护数据传输的协议标准,它为网络通信提供加密处理,确保数据在传输过程中不被窃取或篡改。该协议广泛应用于Web浏览器和其他需要...

    ssl_android.zip_TLS_android_android ssl_application_ssl/tls

    SSL/TLS(Secure Sockets Layer/Transport Layer Security)是网络安全领域中的重要协议,主要用于保障互联网通信的安全性。在Android平台上,SSL/TLS被广泛应用于移动应用程序中,以确保用户数据的隐私和完整性。本...

    netty实现SSL/TSL双向加密认证示例

    在 Netty 中,我们可以使用 `SslContext` 类来配置 SSL/TLS 安全参数。对于服务器端,我们需要创建一个 `ServerSslContext`,而对于客户端则需要一个 `ClientSslContext`。这些上下文对象包含了关于证书、密钥和信任...

    ESP8266 MQTT SSL/TLS 阿里物联网套件 百度天工 Onenet等MQTT服务器(注意:是固件)

    这个文件名可能是固件的打包文件,可能包含ESP8266的固件源码、编译脚本、配置文件等,用于开发者编译和烧录到ESP8266芯片上,实现与各种MQTT服务器的SSL/TLS连接功能。 综上所述,ESP8266 MQTT SSL/TLS固件使得...

    IISCrypto 解决SSL/TLS协议信息泄露漏洞的工具

    2. **启用最佳实践**:工具提供一键式“最佳实践”设置,按照业界公认的最安全配置更新服务器的SSL/TLS设置,避免了手动配置的复杂性和潜在错误。 3. **自定义配置**:除了预设的最佳实践,管理员还可以根据具体...

    关于SSL/TLS的认识

    因此,合理配置SSL/TLS参数,如优化缓存策略、减少握手开销,以及使用更快的加密算法,都是提高SSL/TLS性能的重要措施。 **HTTP/HTTPS** HTTP是无状态、明文传输的协议,而HTTPS是HTTP加上SSL/TLS层,实现了加密和...

    sslyze, 快速强大的SSL/TLS 服务器扫描库.zip

    sslyze, 快速强大的SSL/TLS 服务器扫描库 SSLyze 用于 python 2.7和 3.4 +的快速和功能强大的SSL/TLS 服务器扫描库。描述SSLyze是一个 python 库和一个可以通过连接它来分析服务器的SSL配置的CLI工具。 它的设计是...

    ssl_tls协议RFC5246文档_ssl_ssl标准文档_

    SSL/TLS(安全套接层/传输层安全)协议是互联网上广泛使用的安全通信协议,用于在客户端(如浏览器)和服务器之间建立安全、私密的连接,保护数据免受窃听和篡改。RFC5246文档是SSL/TLS协议的最新版本,正式名为...

    tls.rar_ tls protocol_TLS_ssl_ssl/tls_tls pdf

    10. **性能优化**:在保证安全性的前提下,如何通过优化配置提高SSL/TLS连接的性能,例如使用session resumption和OCSP stapling等技术。 综上所述,这个"tls.pdf"文档很可能会深入探讨这些话题,对于理解SSL和TLS...

    Implementing SSL TLS Using Cryptography and PKI.pdf

    - **配置服务器**: 安装并配置服务器软件以支持SSL/TLS。这包括设置正确的端口、启用所需的加密算法和支持的协议版本等。 - **客户端验证**: 可选地,可以配置服务器以要求客户端提供数字证书进行身份验证,这在某些...

    c++ smpt发送邮件类 ssl/tls

    标题 "c++ smpt发送邮件类 ssl/tls" 涉及的是在C++编程环境中使用SMTP(Simple Mail Transfer Protocol)协议并通过SSL/TLS(Secure Socket Layer/Transport Layer Security)加密来发送电子邮件的知识。SMTP是...

    《HTTPS权威指南》《Bulletproof SSL and TLS》pdf

    《Bulletproof SSL and TLS》是一本深入介绍SSL和TLS协议以及公钥基础设施(PKI)来确保服务器和Web应用程序安全的权威指南。作者Ivan Ristić是SSL实验室的创始人,以及SSL/TLS和PKI领域的知名专家。这本书自2014年...

    基于 MINA 的 TLS/SSL NIO Socket 实现(二)

    在这里,`sslContext`是`javax.net.ssl.SSLContext`的一个实例,它包含了关于SSL/TLS配置的所有信息,如证书、密钥和协议版本等。你需要先通过`SSLContext.getInstance()`方法选择合适的协议(如TLSv1.2),然后使用...

    如何在Nginx中配置SSL/TLS?

    Nginx(发音为“engine-x”)是一个高性能的HTTP和...5. **SSL/TLS终端代理**: - Nginx支持SSL和TLS协议,可以安全地代理HTTPS请求。 6. **模块化设计**: - Nginx的模块化设计允许开发者根据需要添加或修改功能。

    网络服务器配置与管理课件项目10使用SSLTLS安全连接网站.pptx

    本课件主要围绕网络服务器配置与管理,重点讲解如何使用SSL/TLS建立安全连接网站。 首先,SSL/TLS服务的核心目标是确保在网络传输中,数据的保密性、完整性以及双方的身份认证。在传输层,SSL/TLS协议位于应用层和...

Global site tag (gtag.js) - Google Analytics