想必大家對 HTTPS 都有一定的了解吧。今天將給大家聊聊 HTTPS 是如何做安全認證的。HTTPS 是 HTTP 的一個擴展，允許計算機網絡中的兩個實體之間進行安全通信。HTTPS 使用TLS（傳輸層安全）協議來實現安全連接。

TLS 可以通過單向或雙向的證書驗證來實現。在單向中，服務器分享其公共證書，以便客戶可以驗證它是一個受信任的服務器。另一個選擇是雙向驗證。客戶端和服務器都分享他們的公共證書以驗證對方的身份。
將重點介紹雙向證書驗證，服務器也將檢查客戶的證書。

Java 和 TLS 版本

TLS 1.3是該協議的最新版本。這個版本的性能和安全性更高。它有一個更有效的握手協議，并使用現代加密算法。

Java 在Java 11中開始支持這個版本的協議。我們將使用這個版本來生成證書，并實現一個簡單的客戶端-服務器，使用TLS來驗證對方。

在 Java 中生成證書

由于我們正在進行雙向TLS認證，我們需要為客戶端和服務器生成證書。

在生產環境中，我們建議從證書頒發機構購買這些證書。然而，對于測試或演示的目的，使用自簽名的證書就足夠了。在這篇文章中，我們將使用Java的keytool來生成自簽名證書。

服務器證書

首先，我們生成服務器的密鑰存儲。

keytool -genkey -alias serverkey -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore serverkeystore.p12 -storepass password -ext san=ip:127.0.0.1,dns:localhost

我們使用keytool -ext選項來設置 Subject Alternative Names （SAN），以定義識別服務器的本地主機名/IP地址。一般來說，我們可以用這個選項指定多個地址。然而，客戶將被限制在使用這些地址中的一個來連接到服務器。

接下來，我們把證書導出到文件server-certificate.pem中。

keytool -exportcert -keystore serverkeystore.p12 -alias serverkey -storepass password -rfc -file server-certificate.pem

最后，我們將服務器證書添加到客戶端的信任存儲中。

keytool -import -trustcacerts -file server-certificate.pem -keypass password -storepass password -keystore clienttruststore.jks

客戶端證書

同樣地，我們生成客戶端的密鑰存儲并導出其證書。

keytool -genkey -alias clientkey -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore clientkeystore.p12 -storepass password -ext san=ip:127.0.0.1,dns:localhost

keytool -exportcert -keystore clientkeystore.p12 -alias clientkey -storepass password -rfc -file client-certificate.pem

keytool -import -trustcacerts -file client-certificate.pem -keypass password -storepass password -keystore servertruststore.jks

在最后一條命令中，我們把客戶的證書添加到服務器的信任存儲中。

Java 服務端實現

指北君在這里使用Java socket 來實現。SSLSocketEchoServer類得到了一個SSLServerSocket，以輕松支持TLS認證。我們只需要指定密碼和協議，剩下的只是一個標準的應答服務器，回復與客戶端發送的相同的信息。

public class SSLSocketEchoServer {

    static void startServer(int port) throws IOException {

        ServerSocketFactory factory = SSLServerSocketFactory.getDefault();
        try (SSLServerSocket listener = (SSLServerSocket) factory.createServerSocket(port)) {
            listener.setNeedClientAuth(true);
            listener.setEnabledCipherSuites(new String[] { "TLS_AES_128_GCM_SHA256" });
            listener.setEnabledProtocols(new String[] { "TLSv1.3" });
            System.out.println("listening for messages...");
            try (Socket socket = listener.accept()) {
                
                InputStream is = new BufferedInputStream(socket.getInputStream());
                byte[] data = new byte[2048];
                int len = is.read(data);
                
                String message = new String(data, 0, len);
                OutputStream os = new BufferedOutputStream(socket.getOutputStream());
                System.out.printf("server received %d bytes: %s%n", len, message);
                String response = message + " processed by server";
                os.write(response.getBytes(), 0, response.getBytes().length);
                os.flush();
            }
        }
    }
}

服務器監聽客戶端的連接。listener.setNeedClientAuth(true) 的調用要求客戶端與服務器共享其證書。在后臺 SSLServerSocket 實現使用TLS協議對客戶端進行認證。

在我們的例子中，自簽的客戶證書在服務器的信任存儲中，因此 socket 將接受連接。服務器繼續使用InputStream 來讀取消息。然后，它使用OuputStream來回傳傳入的消息，并附加一個確認信息。

Java客戶端實現

與我們處理服務器的方式相同，客戶端的實現是一個簡單的SSLScocketClient類。

public class SSLScocketClient {

    static void startClient(String host, int port) throws IOException {

        SocketFactory factory = SSLSocketFactory.getDefault();
        try (SSLSocket socket = (SSLSocket) factory.createSocket(host, port)) {
            
            socket.setEnabledCipherSuites(new String[] { "TLS_AES_128_GCM_SHA256" });
            socket.setEnabledProtocols(new String[] { "TLSv1.3" });
            
            String message = "Hello World";
            System.out.println("sending message: " + message);
            OutputStream os = new BufferedOutputStream(socket.getOutputStream());
            os.write(message.getBytes());
            os.flush();
            
            InputStream is = new BufferedInputStream(socket.getInputStream());
            byte[] data = new byte[2048];
            int len = is.read(data);
            System.out.printf("client received %d bytes: %s%n", len, new String(data, 0, len));
        }
    }
}

首先，我們創建一個SSLSocket，與服務器建立一個連接。在后臺，該socket將設置TLS連接建立握手。作為握手的一部分，客戶端將驗證服務器的證書并檢查它是否在客戶端的信任庫中。

一旦連接成功建立，客戶端將使用輸出流向服務器發送一個消息。然后，它用輸入流讀取服務器的響應。

運行應用程序

要運行服務器，請打開一個命令窗口并運行。

java -Djavax.net.ssl.keyStore=/path/to/serverkeystore.p12  
  -Djavax.net.ssl.keyStorePassword=password 
  -Djavax.net.ssl.trustStore=/path/to/servertruststore.jks  
  -Djavax.net.ssl.trustStorePassword=password 
  cn.javanorth.httpsclientauthentication.SSLSocketEchoServer

我們指定javax.net.ssl.keystore和javax.net.ssl.trustStore的系統屬性指向我們之前用keytool創建的serverkeystore.p12和servertruststore.jks文件。

為了運行客戶端，我們打開另一個命令窗口并運行。

java -Djavax.net.ssl.keyStore=/path/to/clientkeystore.p12  
  -Djavax.net.ssl.keyStorePassword=password 
  -Djavax.net.ssl.trustStore=/path/to/clienttruststore.jks  
  -Djavax.net.ssl.trustStorePassword=password 
  cn.javanorth.httpsclientauthentication.SSLScocketClient

同樣，我們設置javax.net.ssl.keyStore和javax.net.ssl.trustStore系統屬性，使其指向我們之前用keytool生成的clientkeystore.p12和clienttruststore.jks文件。

總結

今天小編寫了一個簡單的客戶端-服務器的Java實現，來演示使用服務器和客戶端證書做雙向的TLS認證。