所以我想用Java设置SSL服务器/客户端,我对网络的了解不是很好。我已经用Java创建了很多普通的服务器/客户端,并想对其进行设置和设置SSL,以便用户不能只是将错误的数据包发送给我的客户端,以为它是由服务器发送它们的。
我查看了一些示例,并遇到了这个GitHub存储库,该存储库显示了在客户端和服务器之间使用SSL加密的基本服务器,并在我的IDE中进行了设置。 这是仓库: https://github.com/AlphaGarden/SSL-Client-Server
我的问题是为什么客户端和服务器同时使用两个证书?用户不能仅从客户端获取证书并使用它们来解密SSL吗?在客户端中也有2个字符串,password和password2 ...我是否也应该对使用客户端的人员隐藏这些字符串?如果不是,我应该对用户隐藏任何客户端方面的内容,以帮助他们解密SSL流量并提供我的客户端虚假信息吗?
答案 0 :(得分:1)
介绍SSL / TLS连接的一些基本知识:Wkipedia https://en.wikipedia.org/wiki/Transport_Layer_Security,用于TLS 1.2 RFC5246:https://tools.ietf.org/html/rfc5246和用于TLS 1.3 RFC8446 https://tools.ietf.org/html/rfc8446。
安全连接的基本原理是在服务器和客户端使用(每个)证书并进行交换。证书本身是没有用的,因为它不能证明您是您所说的人。要获得对证书的信任,通常的方法是从检查您身份的证书颁发机构(CA)“购买”证书。
当今浏览器通常都知道CA的根证书,因此可以检查服务器和客户端证书 由浏览器(客户端)和服务器根据CA的根证书进行。
让我们看看简单的SSL服务器和客户端代码的代码。我确定您注意到服务器和客户端正在使用 keystore 和 truststore 的“扭曲”源,因此他们需要两个(不同)密码才能访问这两个存储:
SSLServer:
String password = "abcdefg";
InputStream inputStream = ClassLoader.getSystemClassLoader().getResourceAsStream("server/certificate-server.p12");
// TrustManagerFactory
String password2 = "aabbcc";
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("PKIX", "SunJSSE");
InputStream inputStream1 = ClassLoader.getSystemClassLoader().getResourceAsStream("client/certificate-client.p12");
SSLClient:
String password = "aabbcc";
InputStream inputStream = ClassLoader.getSystemClassLoader().getResourceAsStream("client/certificate-client.p12");
// TrustManagerFactory ()
String password2 = "abcdefg";
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("PKIX", "SunJSSE");
InputStream inputStream1 = ClassLoader.getSystemClassLoader().getResourceAsStream("server/certificate-server.p12");
密钥库和信任库有什么用处?密钥库保存(服务器和客户端的)(私有)私钥,并且在信任库中保存所有受信任的证书(通常是CA根证书)。为了检查从另一方收到的证书,服务器和客户端应证明证书链与来自CA的根证书一样。
但这是问题所在-由于程序正在使用自签名证书,因此信任库中没有可用的“真实”和已保存的根证书。为了使程序无需运行而无需用户交互(“您是否信任此证书?”)都提供了使用带有“已批准”证书的信任库,并且所有程序都在运行。
对于第二个问题“用户不能仅从客户端获取证书并使用它们来解密SSL”,答案很简单:是。但是,当仅确保“允许”合作伙伴之间的通信时,例如服务器知道客户端是真正的客户端,而不是攻击者?因此,客户端也会发送证书,服务器也可以检查该证书 信任库。