个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
26
4
我想在 Java 中通过 SSL/TLS 建立客户端服务器通信。服务器是多线程的。使用 openssl,我充当了自己的 CA(为权威机构创建了私钥和自签名证书)。现在我想为我的服务器和客户端创建 key 和证书,这些 key 和证书是从我创建的 CA 签名的。
1) 我是否必须根据提示为每个客户端创建证书和 key ?还是另一种“自动化”方式,例如用脚本?
2) 我已经看到这段用于设置 keystore 的代码
private void setupClientKeyStore() throws GeneralSecurityException, IOException { clientKeyStore = KeyStore.getInstance( "JKS" ); clientKeyStore.load( new FileInputStream( "client1publickey.jks" ), "password".toCharArray() ); } private void setupServerKeystore() throws GeneralSecurityException, IOException { InputStream keyStoreResource = new FileInputStream("serverprivatekey.jks"); char[] keyStorePassphrase = "password".toCharArray(); serverKeyStore = KeyStore.getInstance("JKS"); serverKeyStore.load(keyStoreResource, keyStorePassphrase);}
我已经运行命令来查看这些条目的类型,client1publickey 是一个 TrustedCert 条目,而 serverprivatekey 是一个 PrivateKey 条目。此代码在我的服务器类上。我的客户端类上有这段代码
private void setupServerKeystore() throws GeneralSecurityException, IOException { serverKeyStore = KeyStore.getInstance( "JKS" ); serverKeyStore.load( new FileInputStream("serverpublickwy.jks"), "university".toCharArray() ); } private void setupClientKeyStore() throws GeneralSecurityException, IOException { clientKeyStore = KeyStore.getInstance( "JKS" ); clientKeyStore.load( new FileInputStream( "client1privatekey.jks" ), "university".toCharArray() );}
问题是如何单独创建这些 jks 文件? publickey.jks 文件是证书,对吧?我怎样才能把它放在私钥的另一个文件中并从 CA 签名?还是我可以在客户端/服务器之间建立连接的另一种方式?首先,我使用 openssl 创建了 CA,然后服务器和客户端的两个 jks 文件包含了证书和 key 。
最佳答案
您在这里设置的内容看起来相当原始和脆弱。 JKS 存储实际上使用起来非常痛苦,但它们是一些 Java 库所能接受的,所以如果你被卡住了,你就被卡住了。
http://www.javacodegeeks.com/2014/07/java-keystore-tutorial.html
是关于 keytool 基础知识的相当不错的教程,keytool 是操作 key 存储的标准方法。 JKS 文件可以包含 key 对和 CSR,或 key 对和签名证书或任意数量的证书 w。没有与它们相关的 key 对。
通常我将这些脚本编写为命令行驱动的案例,它们是我需要执行的任何启动脚本的一部分。我的基本前提是,如果 key 对不离开为其创建的盒子,则它是最安全的。因此, key 对创建、密码设置和 CSR 生成是我在设置盒子时要处理的事情。使用开放式 SSL 或 keytool 不仅可以编写 key 对和 CSR 设置脚本,还可以将 CSR 发送到 CA。如果你想走完全程,你甚至可以编写脚本来查询 CA 以获取签名证书。
我倾向于在 Java 或 JEE 框架之外执行此操作。我使用适合我选择的操作系统的任何脚 native 制。
话虽如此,我相信这段代码:
http://docs.oracle.com/javase/7/docs/api/java/security/KeyStore.html
提供了如何在 Java 中设置 JKS 的示例。
特别有趣的是,看起来至少在 Java 7 中,您可以使用 PKCS 12 而不是 JKS 文件。 PKCS12 是 Java 之外的默认设置,因此很高兴看到它们加入标准。
JKS 文件或 PKCS12 也可以包含所有可信证书的 bundle 。在大多数情况下,这是 CA 或层次结构中的 CA 集。这个信任库可以大规模分布,为了简单起见,您可以将它放在您计划以这种方式配置的每个服务器的构建中。您可能还希望将包托管在可以轻松从任何服务器获取干净副本的地方。
The question is that how can I create these jks files separately? The publickey.jks file is cert, right? How can I have it in another file from the private key and be signed from CA? Or is it another way I can establish connections between client/server?
好吧,我想你是在失去我。
Java Key Stores 的基本前提是描述和签署 key 对公钥的证书与 key 对位于同一位置。任何实体(服务器或客户端)都需要恰好 1 个 JKS 文件,其中包含与其身份相关的所有信息,包括 key 对和证书。
在这种特殊情况下尝试将它们分开以便长期存储对我来说意义不大。
但是,如果您要问的是“我如何将我需要在 CA 签名的东西与我的私钥分开,这样我就不必随身携带我的私钥了?” - 这是一个很好的问题。答案是 CSR(证书签名请求),它是一个自签名的信息 block ,仅包含公钥和您希望 CA 在签署证书时使用的一堆信息。在关键工具中做到这一点的方法是:
keytool -certreq -alias mydomain -keystore keystore.jks -storepass password -file mydomain.csr
最后你会在“mydomain.csr”中拥有它
您将使用它从 CA 取回已签名的证书,然后将其上传:
keytool -import -trustcacerts -alias mydomain -file mydomain.crt -keystore keystore.jks -storepass password
关于openssl - 私钥和公钥分开,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33504926/
26
4
0
如何选择随机哈希键?对于 my Flash+Perl card game我正在尝试从哈希中随机选择一张卡片,其中的键是:“6 黑桃”、“6 俱乐部”等,如下所示: my $card; my $i =
每当我收到对端点的请求时,我都会使用openssl crate 生成随 secret 钥。我将使用新生成的 key 来加密请求数据,并将其作为响应发送回去。 use openssl::rsa::{Rs
我们知道,我们在代码中生成的“随机”数实际上是伪随机数。在Java的情况下,它们默认使用时间戳作为随机种子,并且从该点开始确定性地创建时间戳之后产生的每个随机数。 如果您使用随机数生成密码,并且恶意方
我想用java生成一个128位随 secret 钥。我正在使用以下内容: byte[] byteBucket = new byte[bytelength]; randomizer.nextBytes(
这个问题已经有答案了: Pick random property from a Javascript object (9 个回答) 已关闭 7 个月前。 如果我有以下内容: var liststuff
我做了一些研究,找不到我需要的东西,基本上我想生成一个具有以下格式的随 secret 钥 XXX-XXX-XXXX 最佳答案 这是一个快速的 Javascript 解决方案: let r = Math
在 Firebase 中,可以使用 .childByAutoId() 创建随 secret 钥 let newEntry = FBRef.child("category").childByAutoId
假设我有一个带有大量键的对象: const myObject = { "a": 1, "b": 2, "c": 3, ... } 如果我存储了一个单独的 key 列表,
我需要计算一些字符串的签名,并计划这样做: using (HMACSHA256 hmacSha256 = new HMACSHA256( )) { Byte[] dataToHmac
我的任务是生成随机的 80 字节 key ,我决定遵循以下策略 在我的电脑中sizeof(char)=1 所以我创建了一个英文字母数组 char *p=" "; char a[0..26] and i
我正在设计一个广告系统,该系统根据广告的权重(出价)在广告之间随机轮换。 local ads = local ads = { ["a"] = { views = 0,
我有一个整数列表(员工 ID)它们都是8位长(虽然几乎都是00开头,但实际上都是8位长) 我需要为每个员工生成一个 key : - 5 chars including [A-Z][a-z][0-9]
我使用 KeyPairGenerator 生成 RSA key 对,我注意到它始终生成完全匹配的 key ,而不是应有的随 secret 钥?也许有人知道为什么会这样? 我的代码现在看起来像这样: p
我正在运行一个 FIRESTORE 数据库,我想创建一个具有与 firestore 相同的模式 的随 secret 钥。 在链接中,我找到了创建文档后调用的函数with: 'db.ref.add()'
这个问题已经有答案了: Add a property to a JavaScript object using a variable as the name? (14 个回答) Creating ob
我想生成 1M 随机(出现)唯一字母数字键并将它们存储在数据库中。每个 key 的长度为 8 个字符,并且仅使用子集“abcdefghijk n pqrstuvxyz 和 0-9”。 字母 l、m、o
我想生成像“7HzdUakp”这样的唯一 key 。 我想将其放入数据库(mysql)中,但我想要几乎无限的组合。 我可以使用随机函数生成它,但有时它可以生成相同的 key 两次 已解决 - 我根据“
我有一个我似乎无法弄清楚的基本问题。我正在尝试在 AES-256-CBC 中生成一个可用于加密/解密数据的随 secret 钥。 这是我正在做的: require 'openssl' cipher =
如果您对 Azure 网站使用自动缩放,是否需要设置计算 secret 钥,以便可以在计算机之间共享加密的身份验证 token ? 这里有一个问题,似乎be the same正如我所问的那样。然而,这
我想根据创建日期和时间从 Firebase 中检索数据我还没有找到任何其他方法,而不是通过使用 orderByChild("Create") 创建每个用户的 child 来保存创建日期和时间排序,但是
我是一名优秀的程序员,十分优秀!