안녕하세요, 저는 클라이언트와 자바 소켓을 사용하는 클라이언트 프로젝트와 클라이언트 인증이 true로 설정된 소켓을 사용하고 있습니다. 나는 모든 것을 작동시키지 만, 각면이 그들의 jks에 포함되어야하는 것이 무엇인지 확신하고 싶습니다.java-socketSSL과 클라이언트 - 서버 통신.
클라이언트 :
1. 클라이언트 개인 키 (key.pem) & 공개 키 (cert.pem).
2. 중간 CA 공개 키 (cert.pem).
서버 :
1. 서버 개인 키 (key.pem) & 공개 키 (cert.pem).
2. 중간 CA 공개 키 (cert.pem).
저는 인증서에 대해 많이 읽었지만 정말 필요한 인증서가 무엇인지 이해할 수 없습니다.
질문 :
1.
나는 클라이언트 만 rootCA와 그의 인증서 및 서버의 모든 체인과 자신의 인증서를 포함해야합니다 읽어 보시기 바랍니다. 이 문제를 해결하는 올바른 방법입니까?
2. 서버에 인증서가있는 jks와 트러스트 체인이있는 jks가 있어야 함을 읽었습니다. 나는 각각 무엇을 포함해야하는지 정말로 모른다.
3. 코드는 서버와 클라이언트에 javax.net.ssl.keyStore와 javax.net.ssl.trustStore가있는 경우에만 작동합니다. 내가 그 중 하나를 제거하면 그들은 일을 멈추고, 왜? 내가 읽은 것으로부터 클라이언트는 trustStore에서만 작업 할 수 있어야합니다.
저는 인터넷에 많은 정보가 있다는 것을 알고 있습니다. 저는 그것에 대해 1 주일을 읽으면서 보내고 있습니다. 그러나 나는 아직도이 점을 해협이 못 잡습니다. 코드가 작동하더라도 실제로 작동하는 이유와 올바른 방법은 무엇인지 알고 싶습니다.
다음 웹 사이트에서 tutorila의 배치를 만들었습니다 : https://jamielinux.com/docs/openssl-certificate-authority/.
저는 보조 프로젝트를 사용하여 SSL 소켓 연결을 테스트하고 있습니다.
이클라이언트 (MWE) :
package com.test.ssl;
import java.io.DataInputStream;
import java.io.DataOutputStream;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import javax.net.ssl.SSLSocket;
import javax.net.ssl.SSLSocketFactory;
public class Client {
private static final String IP = "127.0.0.1";
private static final int PORT = 15000;
private static DataOutputStream os;
private static DataInputStream is;
private static final byte messageEnd = 0;
public static void main(String[] args) {
System.setProperty("javax.net.ssl.keyStore", "D:\\workspace\\Client_Server_SSL\\clientKeyStore.jks");
System.setProperty("javax.net.ssl.keyStorePassword", "CertPass");
System.setProperty("javax.net.ssl.trustStore", "D:\\workspace\\Client_Server_SSL\\clientKeyStore.jks");
System.setProperty("javax.net.ssl.trustStorePassword", "CertPass");
SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory.getDefault();
try {
SSLSocket sslsocket = (SSLSocket) factory.createSocket(IP, PORT);
sslsocket.setNeedClientAuth(true);
is = new DataInputStream(sslsocket.getInputStream());
System.out.println("Loading output streams");
os = new DataOutputStream(sslsocket.getOutputStream());
System.out.println("Streams loaded");
os.write("Hi\0".getBytes());
byte character;
List<Byte> message = new ArrayList<>();
while ((character = is.readByte()) != messageEnd) {
message.add(character);
}
byte[] messageBytes = byteListToByteArray(message);
String response = new String(messageBytes);
System.out.println("Server response: " + response);
} catch (IOException e) {
e.printStackTrace();
}
}
public static byte[] byteListToByteArray(List<Byte> bytes) {
byte[] result = new byte[bytes.size()];
for (int i = 0; i < bytes.size(); i++) {
result[i] = bytes.get(i).byteValue();
}
return result;
}
}
서버 (MWE) :
package com.test.ssl;
import java.io.DataInputStream;
import java.io.DataOutputStream;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import javax.net.ssl.SSLServerSocket;
import javax.net.ssl.SSLServerSocketFactory;
import javax.net.ssl.SSLSocket;
public class Server {
private static boolean serverListening = true;
private static SSLServerSocket sslserversocket;
private static final int PORT = 15000;
private static DataInputStream is;
private static DataOutputStream os;
public static void main(String[] args) {
System.setProperty("javax.net.ssl.keyStore", "D:\\workspace\\Client_Server_SSL\\serverKeyStore.jks");
System.setProperty("javax.net.ssl.keyStorePassword", "CertPass");
System.setProperty("javax.net.ssl.trustStore", "D:\\workspace\\Client_Server_SSL\\serverKeyStore.jks");
System.setProperty("javax.net.ssl.trustStorePassword", "CertPass");
SSLServerSocketFactory factory = (SSLServerSocketFactory) SSLServerSocketFactory.getDefault();
try {
sslserversocket = (SSLServerSocket) factory.createServerSocket(PORT);
sslserversocket.setNeedClientAuth(true);
while (serverListening) {
System.out.println("Waiting for client");
// Accept return a new socket to handle the client.
SSLSocket sslsocket = (SSLSocket) sslserversocket.accept();
is = new DataInputStream(sslsocket.getInputStream());
os = new DataOutputStream(sslsocket.getOutputStream());
System.out.println("Client connected");
List<Byte> message = new ArrayList<>();
byte character;
while ((character = is.readByte()) != 0) {
message.add(character);
}
byte[] messageBytes = byteListToByteArray(message);
String response = new String(messageBytes);
System.out.println("Client sad: " + response);
os.write("Welcome\0".getBytes());
}
} catch (IOException e) {
System.err.println("Exception: " + e);
}
}
public static byte[] byteListToByteArray(List<Byte> bytes) {
byte[] result = new byte[bytes.size()];
for (int i = 0; i < bytes.size(); i++) {
result[i] = bytes.get(i).byteValue();
}
return result;
}
}
배치 스크립트 :
다운로드 이것은 내가 사용하고 무엇인가 openSSL from : https://slproweb.com/products/Win32OpenSSL.html
bin 폴더를 별도의 폴더에 복사하고 거기에 배치 파일을 추가했습니다. openssl.cnf는 첫 번째 링크에서 가이드에있는 복사본입니다.
@echo on
cd /D %~dp0
REM could not create all subfolder at onces, I got a syntax error when trying root\ca\{certs,crl,newcerts,private}
mkdir root\ca\certs
mkdir root\ca\crl
mkdir root\ca\newcerts
mkdir root\ca\private
type NUL > root\ca\index.txt
echo 1000 > root\ca\serial
REM tried to use type but it was not working.
copy "%~dp0ConfigurationFiles\openssl_ca_test.cnf" root\ca\openssl.cnf
@echo ______________Creating CA
openssl genrsa -aes256 -out root/ca/private/ca.key.pem -passout pass:CAPassword 4096
openssl req -config root/ca/openssl.cnf -key root/ca/private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out root/ca/certs/ca.cert.pem -passin pass:CAPassword
openssl x509 -noout -text -in root/ca/certs/ca.cert.pem
@echo ______________INTERMEDIATE CERTIFICATES
mkdir root\ca\intermediate\certs
mkdir root\ca\intermediate\crl
mkdir root\ca\intermediate\newcerts
mkdir root\ca\intermediate\private
mkdir root\ca\intermediate\csr
type NUL > root\ca\intermediate\index.txt
echo 1000 > root\ca\intermediate\serial
echo 1000 > root\ca\intermediate\crlnumber
copy "%~dp0ConfigurationFiles\openss_intermediate_test.cnf" root\ca\intermediate\openssl.cnf
openssl genrsa -aes256 -out root/ca/intermediate/private/intermediate.key.pem -passout pass:InterMPassword 4096
openssl req -config root/ca/intermediate/openssl.cnf -new -sha256 -key root/ca/intermediate/private/intermediate.key.pem -out root/ca/intermediate/csr/intermediate.csr.pem -passin pass:InterMPassword
openssl ca -config root/ca/openssl.cnf -extensions v3_intermediate_ca -days 3650 -notext -md sha256 -in root/ca/intermediate/csr/intermediate.csr.pem -out root/ca/intermediate/certs/intermediate.cert.pem -passin pass:CAPassword
type root\ca\intermediate\certs\intermediate.cert.pem root\ca\certs\ca.cert.pem > root\ca\intermediate\certs\ca-chain.cert.pem
@echo ______________GENERATING CERTIFICATES
openssl genrsa -aes256 -out root/ca/intermediate/private/www.client.com.key.pem -passout pass:CertPass 2048
openssl genrsa -aes256 -out root/ca/intermediate/private/www.server.com.key.pem -passout pass:CertPass 2048
openssl req -config root/ca/intermediate/openssl.cnf -key root/ca/intermediate/private/www.client.com.key.pem -new -sha256 -out root/ca/intermediate/csr/www.client.com.csr.pem -passin pass:CertPass
openssl req -config root/ca/intermediate/openssl.cnf -key root/ca/intermediate/private/www.server.com.key.pem -new -sha256 -out root/ca/intermediate/csr/www.server.com.csr.pem -passin pass:CertPass
@echo ______________SIGNING CERTIFICATES
openssl ca -config root/ca/intermediate/openssl.cnf -extensions usr_cert -days 7000 -notext -md sha256 -in root/ca/intermediate/csr/www.client.com.csr.pem -out root/ca/intermediate/certs/www.client.com.cert.pem -passin pass:InterMPassword
openssl ca -config root/ca/intermediate/openssl.cnf -extensions server_cert -days 7000 -notext -md sha256 -in root/ca/intermediate/csr/www.server.com.csr.pem -out root/ca/intermediate/certs/www.server.com.cert.pem -passin pass:InterMPassword
@echo ______________DONE
PAUSE
그래도 이해할 수 있습니다. 양측마다 다른 CA를 사용할 수 있습니까? 인증서 체인은 정확히 무엇입니까 (자체 인증서에는 포함되어 있지 않습니다). O이고 왜 루트 CA가없는 중간 CA 만 사용합니까? – MissingSemiColon
예, 각면에 다른 CA가있을 수 있으며 일반적으로 양면의 트러스트 스토어는 JRE와 함께 제공되는 트러스트 스토어가됩니다. 여기에는 * lots *의 루트 CA 인증서가 포함됩니다. 트러스트 스토어에는받은 인증서 체인에 * a * 인증서가 있어야합니다. 일반적으로 이것은 루트가되지만, 경우에 따라 중간 루트가 될 수도 있습니다. 인증서 체인은 서명 할 때 CA가 제공 한 인증서 체인으로, 서명 한 인증서로 시작하여 모든 내부 인증서를 통해 자신의 루트 CA 인증서 또는 더 높은 인증서까지 연결할 수 있습니다. – EJP
고마워, 루트 인증서와 중간체를 추가 할 것을 권하는가, 아니면 중간체 만 사용하면 될까요? 중간체 만 공유하는 것이 더 안전하다고 읽었습니다. 다시 빠르고 감사의 답변을 주셔서 감사합니다. – MissingSemiColon