Java SSL与TLS客户端证书配置

一、TLS安全概念

（1）PKI

PKI是 Public Key Infrastructure的简称，意思是公钥基础设施。
公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。通过证书和秘钥来确认通讯双方是否可信任。

（2）CA
CA是Certificate Authority的简称，即证书的签发机构，它是PKI的核心。
正常情况来说，CA是具有权威性的机构，通过CA获取证书需要给钱。
但是有的时候可能不想用CA机构的证书，又想要使用https站点，那么可能就需要自己生成证书，但是这种证书浏览器是认为不安全的，本文档后边的具体步骤即针对这种场景。

（3）https
https是http+ssl，通俗点说，就是采用http通讯的安全传输协议，用来保证http传输过程中数据的机密性、完整性和可靠性，ssl需要证书。

（4）单向认证
网络通讯是双向的，但是安全认证不一定都是双向。大多数情况下可能都是单向的，只需要客户端确认服务端是可靠的，而服务端不管客户端是否可靠。即客户端，比如浏览器会验证服务端证书，服务端不需要客户端证书。

（5）双向认证
双向认证相对于单向认证，即客户端需要确认服务端是否可信，服务端也需要确认客户端是否可信。双方都要验证对方的证书

（6）SSL
Secure Sockets Layer，一种加密协议规范，如https就使用它进行加解密

（7）OpenSSL
一种ssl规范的实现，可以帮助我们生成解析各类证书

（8）X.509
证书标准，比如证书应该包含哪些信息

（9）PEM
Privacy Enhanced Mail，一种编码格式，常用于Apache和UNIX服务器，查看证书信息：openssl x509 -in certificate.pem -text -noout

（10）DER
Distinguished Encoding Rules,一种编码格式，常用于Java和Windows服务器，查看证书的信息：openssl x509 -in certificate.der -inform der -text -noout

（11）CRT

certificate，证书文件，常见于UNIX系统，大多应是PEM编码
（12）CER

certificate，证书文件，常见于Windows系统，大多应是DER编码.
（13）KEY

通常用来存放一个公钥或者私钥，查看不同编码格式文件内容

（14）CSR

Certificate Signing Request，即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请，查看方法:openssl req -noout -text -in my.csr (DER格式同上后面加上-inform der)
（15）PFX/P12

predecessor of PKCS#12，对Unix服务器来说，一般CRT和KEY是分开存放在不同文件中的，但Windows的IIS则将它们存在一个PFX文件中，因此这个文件包含了证书及私钥。

（16）JKS

Java Key Storage，跟OpenSSL关系不大，Java的keytool工具可以将PFX转为JKS，也能直接生成JKS

二、证书存储格式

1、pem格式：pem、crt、key后缀。编码方式base64，key使用pkcs1、pkcs8格式存储

2、p12（通用的证书存储格式）

3、jks（java的证书存储格式，依赖jdk版本，小版本差异会报错）

三、证书客户端设置

KeyManager是提供客户端证书管理，TrustManager是信任服务端证书管理

（1）单向认证

        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");FileInputStream caInputStream = new FileInputStream(caPath);List<X509Certificate> caList =  certificateFactory.generateCertificates(caInputStream).stream().map(v->(X509Certificate)v).collect(Collectors.toList());KeyStore keystore = KeyStore.getInstance("JKS");keystore.load(null, null);for(X509Certificate ca: caList)keystore.setCertificateEntry(ca.getSubjectDN().getName(), ca);TrustManagerFactory tmf = TrustManagerFactory.getInstance("PKIX");tmf.init(keystore);SSLContext context = SSLContext.getInstance("TLS");context.init(null, tmf.getTrustManagers(), new SecureRandom());

（2）双向认证

   private void sslContext() {// 初始化密钥库KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("SunX509");KeyStore keyStore = getKeyStore("client.jks", "123456", "PKCS12");keyManagerFactory.init(keyStore, "123456".toCharArray());// 初始化信任库TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("SunX509");KeyStore trustkeyStore = getKeyStore("server.jks", "123456", "JKS");trustManagerFactory.init(trustkeyStore);// 初始化SSL上下文SSLContext ctx = SSLContext.getInstance("SSL");ctx.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);}private  KeyStore getKeyStore(String keyStorePath, String password, String type)throws Exception {FileInputStream is = new FileInputStream(keyStorePath);KeyStore ks = KeyStore.getInstance(type);ks.load(is, password.toCharArray());is.close();return ks;}