经验首页 前端设计 程序设计 Java相关 移动开发 数据库/运维 软件/图像 大数据/云计算 其他经验
当前位置:技术经验 » Java相关 » Scala » 查看文章
Akka-CQRS(13)- SSL/TLS for gRPC and HTTPS:自签名证书产生和使用
来源:cnblogs  作者:雪川大虫  时间:2019/6/24 10:08:10  对本文有异议

  到现在,我们已经完成了POS平台和前端的网络集成。不过,还是那句话:平台系统的网络安全是至关重要的。前一篇博客里我们尝试实现了gRPC ssl/tls网络连接,但测试时用的证书如何产生始终没有搞清楚。现在akka-http开发的ws同样面临HTTPS的设置和使用问题。所以,特别抽出这篇博文讨论一下数字证书的问题。

在正式的生产环境里数字证书应该是由第三方公证机构CA签发的,我们需要向CA提出申请。数字证书的申请、签发和验证流程如下:

  1. 1) 服务? S 向第三?方机构CA提交公钥、组织信息、个?信息(域名)等资料提出认证申请 (不需要提供私钥)
  3. 2) CA 通过各种手段验证申请者所提供信息的真实性,如组织是否存在、 企业是否合法,是否拥有域名的所有权等
  5. 3) 如信息审核通过,CA 会向申请者签发认证文件-证书。 证书包含以下信息:申请者公钥、申请者的组织信息和个?信息、签发机构 CA 信息、有效时间、证书序列号等信息的明?,同时包含一个签名的产?生算法:首先,使用散列函数计算出证书中公开明文信息的信息摘要,然后, 采用 CA 的私钥对信息摘要进?加密,这个密?就是签名了
  7. 4) 客户端 C 向服务器 S 发出请求时,返回证书文件
  9. 5) 客户端 C 读取证书中的相关的明?信息,采?相同的散列函数计算得到信息摘要, 然后,利用对应 CA 的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法
  11. 6) 客户端 C 然后检验证书相关的域名信息、有效时间等信息
  13. 7) 客户端 C 应内置信任 CA 的证书信息(包含公钥),如果 CA 不被信任,则找不到对应 CA 的证书,证书也会被判定非法
  15. 8) 内置 CA 对应的证书称为根证书,颁发者和使?者相同,用 CA ??的私钥签名,即?签名证书(此证书中的公钥即为 CA 的公钥,可以使用这个公钥对证书的签名进行校验,?需另外?份证书)

服务器端在通信中建立SSL加密渠道过程如下:

  1. 1)客户端 C 发送请求到服务器端 S
  3. 2) 服务器端 S 返回证书和公开密钥到 C,公开密钥作为证书的一部分传送
  5. 3)客户端 C 检验证书和公开密钥的有效性,如果有效,则?成共享密钥并使?公开密钥加密发送到服务器端 S
  7. 4) 服务器端 S 使?私有密钥解密数据,并用收到的共享密钥加密数据,发送到客户端 C 
  9. 5) 客户端 C 使?用共享密钥解密数据
  11. 6) SSL 加密通信渠道建立 ...

应该说,需要在客户端进行认证的应用场景不多。这种情况需要在客户端存放数字证书。像支付宝和一些银行客户端一般都需要安装证书。

好了,还是回到如何产生自签名证书示范吧。下面是一个标准的用openssl命令产生自签名证书流程:

在产生证书和密钥的过程中所有系统提问回答要一致。我们先假设密码统一为:123456

1、生成根证书私钥: rootCA.key:  openssl genrsa -des3 -out rootCA.key 2048 

2、根证书申请 rootCA.csr:openssl req -new -key rootCA.key -out rootCA.csr

3、用申请rootCA.csr生成根证书 rootCA.crt:openssl x509 -req -days 365 -sha256 -extensions v3_ca -signkey rootCA.key -in rootCA.csr -out rootCA.crt

4、pem根证书 rootCA.pem:openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

5、创建?个v3.ext?件,目的是产生X509 v3证书,主要目的是指定subjectAltName选项:

  1.   authorityKeyIdentifier=keyid,issuer
  2.   basicConstraints=CA:FALSE
  3.   keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
  4.   subjectAltName = @alt_names
  5.   [alt_names]
  6.   DNS.1 = localhost
  7.   IP.1 = "192.168.11.189"  
  8.   IP.5 = "192.168.0.189"
  9.   IP.2 = "132.232.229.60"
  10.   IP.3 = "118.24.165.225"
  11.   IP.4 = "129.28.108.238"

注意subjectAltName,这些都是可以信任的域名或地址。

6、构建证书密钥 server.key:openssl req -new -sha256 -nodes -out server.csr -newkey rsa:2048 -keyout server.key

7、用根证书rootCA产生自签证书 server.crt:openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 500 -sha256 -extfile v3.ext

上面这个过程需要不断重复回答同样的问题,很烦。可以用配置文件来一次性产生:

先构建一个ssl.cnf文件:

  1.   [req]
  2.   prompt = no
  3.   default_bits = 4096
  4.   default_md = sha256
  5.   distinguished_name = dn
  6.   x509_extensions = v3_req
  7.   [dn]
  8.   C=CN
  9.   ST=GuangDong
  10.   L=ShenZhen
  11.   O=Bayakala
  12.   OU=POS
  13.   CN=www.bayakala.com
  14.   emailAddress=admin@localhost
  15.   [v3_req]
  16.   keyUsage=keyEncipherment, dataEncipherment
  17.   extendedKeyUsage=serverAuth
  18.   subjectAltName=@alt_names
  19.   [alt_names]
  20.   DNS.1 = localhost
  21.   IP.1 = "192.168.11.189"  
  22.   IP.5 = "192.168.0.189"
  23.   IP.2 = "132.232.229.60"
  24.   IP.3 = "118.24.165.225"
  25.   IP.4 = "129.28.108.238"

然后:openssl req -new -newkey rsa:2048 -sha1 -days 3650 -nodes -x509 -keyout server.key -out server.crt -config ssl.cnf

一个指令同时产生需要的server.crt,server.key。

除aubjectAltName外还要关注CN这个字段,它就是我们经常会遇到系统提问:你确定信任“域名”吗?中这个域名,也就是对外界开放的一个使用了数字证书的域名。

把crt,key抄写到main/resources目录下,然后在gRPC服务器配置证书:

  1. trait gRPCServer {
  2.   
  3.   val serverCrtFile = new File(getClass.getClassLoader.getResource("server.crt").getPath)
  4.   val serverKeyFile = new File(getClass.getClassLoader.getResource("server.key").getPath)
  6.   def runServer(service: ServerServiceDefinition): Unit = {
  7.     val server = NettyServerBuilder
  8.       .forPort(50051)
  9.       .addService(service)
  10.       .useTransportSecurity(serverCrtFile,serverKeyFile)
  11.       .build
  12.       .start
  13.     // make sure our server is stopped when jvm is shut down
  14.     Runtime.getRuntime.addShutdownHook(new Thread() {
  15.       override def run(): Unit = {
  16.         server.shutdown()
  17.         server.awaitTermination()
  18.       }
  19.     })
  20.   }
  22. }

启动gRPC服务,运作正常。在看看客户端代码:

  1.     val clientCrtFile = new File(getClass.getClassLoader.getResource("server.crt").getPath)
  2.  //或者   val clientCrtFile = new File(getClass.getClassLoader.getResource("rootCA.pem").getPath)
  4. //这样也行 val clientCrtFile: InputStream = getClass.getClassLoader.getResourceAsStream("rootCA.pem")
  6.     val sslContextBuilder = GrpcSslContexts.forClient().trustManager(clientCrtFile)
  8.     //build connection channel
  9.     val channel = NettyChannelBuilder
  10.       .forAddress("192.168.11.189",50051)
  11.       .negotiationType(NegotiationType.TLS)
  12.       .sslContext(sslContextBuilder.build())
  13. //      .overrideAuthority("192.168.1.3")
  14.       .build()

测试连接,gRPC SSL/TLS成功!

现在开始了解一下https证书的配置使用方法吧。看了一下akka-http关于server端HTTPS设置的例子,证书是嵌在HttpsConnectionContext类型里面的。还有就是akka-http使用的https证书格式只支持pkcs12,所以需要把上面用openssl产生的自签名证书server.crt转成server.p12。这个转换又需要先产生证书链certificate-chain chain.pem:

1)产生certificate-chain:  cat server.crt rootCA.crt > chain.pem

2) server.crt转换成server.p12: openssl pkcs12 -export -name servercrt -in chain.pem -inkey server.key -out server.p12

https server 测试代码:

  1. //#imports
  2. import java.io.InputStream
  3. import java.security.{ SecureRandom, KeyStore }
  4. import javax.net.ssl.{ SSLContext, TrustManagerFactory, KeyManagerFactory }
  6. import akka.actor.ActorSystem
  7. import akka.http.scaladsl.server.{ Route, Directives }
  8. import akka.http.scaladsl.{ ConnectionContext, HttpsConnectionContext, Http }
  9. import akka.stream.ActorMaterializer
  10. import akka.http.scaladsl.Http
  11. import akka.http.scaladsl.server.Directives._
  13. //#imports
  16. object HttpsDemo extends App {
  18.   implicit val httpSys = ActorSystem("httpSystem")
  19.   implicit val httpMat = ActorMaterializer()
  20.   implicit val httpEC = httpSys.dispatcher
  21.   
  23.     val password: Array[Char] = "123456".toCharArray // do not store passwords in code, read them from somewhere safe!
  25.     val ks: KeyStore = KeyStore.getInstance("PKCS12")
  26.     val keystore: InputStream = getClass.getClassLoader.getResourceAsStream("server.p12")
  27.     ks.load(keystore, password)
  29.     val keyManagerFactory: KeyManagerFactory = KeyManagerFactory.getInstance("SunX509")
  30.     keyManagerFactory.init(ks, password)
  32.     val tmf: TrustManagerFactory = TrustManagerFactory.getInstance("SunX509")
  33.     tmf.init(ks)
  35.     val sslContext: SSLContext = SSLContext.getInstance("TLS")
  36.     sslContext.init(keyManagerFactory.getKeyManagers, tmf.getTrustManagers, new SecureRandom)
  37.     val https: HttpsConnectionContext = ConnectionContext.https(sslContext)
  40.   val route = get { complete("Hello world!") }
  42.   val (port, host) = (50081,"192.168.11.189")
  44.   val bindingFuture = Http().bindAndHandle(route,host,port,connectionContext = https)
  46.   println(s"Https Server running at $host $port. Press any key to exit ...")
  48.   scala.io.StdIn.readLine()
  51.   bindingFuture.flatMap(_.unbind())
  52.     .onComplete(_ => httpSys.terminate())
  54. }

用safari连接https://192.168.11.189:50081/, 弹出窗口一堆废话后还是成功连接上了。

 

原文链接:http://www.cnblogs.com/tiger-xc/p/11075240.html

 友情链接:直通硅谷  点职佳  北美留学生论坛

Scala热门文章

  • scala (3) Function 和 Method
  • flink 两个datastream实现left_join的两种方法
  • scala case class + BeanProperty+fastjson 快速实现类的序列化与反序列化
  • Scala解析MDF文件
  • flink 如何实现对watermark 的checkpoint,防止数据复写
  • Spark笔记(一):错误总结
  • 踩坑 scala 打包上传 找不到类
  • akka-typed(2) - typed-actor交流方式和交流协议
  • Scala(二):元组、数组、映射
  • scala 命名规范

    • Scala推荐文章

  • Scala中Array和List的区别说明
  • alpakka-kafka(5)-kafka集群配置与分布式应用部署
  • alpakka-kafka(2)-consumer
  • alpakka-kafka(1)-producer
  • akka-typed(1) - actor生命周期管理
  • akka-typed(2) - typed-actor交流方式和交流协议
  • akka-typed(3) - PersistentActor has EventSourcedBehavior
  • akka-typed(4) - EventSourcedBehavior in action
  • kka-typed(5) - cluster:集群节点状态监视
  • akka-typed(6) - cluster:group router, cluster-load-balancing

    • 本站QQ群:前端 618073944 | Java 606181507 | Python 626812652 | C/C++ 612253063 | 微信 634508462 | 苹果 692586424 | C#/.net 182808419 | PHP 305140648 | 运维 608723728

    W3xue 的所有内容仅供测试,对任何法律问题及风险不承担任何责任。通过使用本站内容随之而来的风险与本站无关。
    关于我们  |  意见建议  |  捐助我们  |  报错有奖  |  广告合作、友情链接(目前9元/月)请联系QQ:27243702 沸活量
    皖ICP备17017327号-2 皖公网安备34020702000426号