手把手教你为基于Netty的IM生成自签名SSL/TLS证书

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文要分享的是如何使用OpenSSL生成在基于Netty的IM中真正可用的SSL/TLS证书,内容包括:证书的创建、创建过程中的注意点,以及在Server端、Android端、iOS端、Java桌面端、H5端使用证书的代码范例。

1、引言

对于IM聊天应用来说,为了提升安全性,对聊天消息加密是常规操作。

众所周之,Netty是高性能的Java NIO网络通信框架,因而用Netty来写IM是再正常不过了。网上关于为Netty生成、以及使用SSL/TLS证书的文章有很多,但由于各种原因,生成的证书要么是Netty中无法读取和使用,要么是代码不全或不具体导致根本配不通SSL/TLS加密。

正好这段时间专门为 MobileIMSDK 生成了一套测试证书,顺手把这个过程记录了下来,分享给大家。

本文要分享的是如何使用OpenSSL生成在基于Netty的IM中真正可用的SSL/TLS证书,内容包括:证书的创建、创建过程中的注意点,以及在Server端、Android端、iOS端、Java桌面端、H5端使用证书的代码范例。

注:对于那些付费购买了第3方权威CA机构签发的证书,他们都有相应的使用文档,这就没什么好说的。本文里的证书指的是不需要花钱的自签名证书。


学习交流:

- 移动端IM开发入门文章:《新手入门一篇就够:从零开发移动端IM

- 开源IM框架源码:https://github.com/JackJiang2011/MobileIMSDK备用地址点此

(本文已同步发布于:http://www.52im.net/thread-4142-1-1.html

2、知识准备

► 如果你对IM系统毫无概念,建议先阅读《零基础IM开发入门(一):什么是IM系统?》系列文章,通俗易懂,适合小白。

► 如果你想系统学习IM开发相关的理论知识,比如网格编程、IM架构设计等,建议先阅读《新手入门一篇就够:从零开发移动端IM》。

如果你不了解Netty是什么,建议阅读以下几篇Netty的基础入门好文章:

► 如果你已掌握IM理论知识,同时也对Netty基本掌握,正准备动手实战,则可以阅读《基于Netty,从零开发IM》和《跟着源码学IM》这个系列文章,有各种入门级实战代码,图文并茂,适合学习。

► 如果你对IM、Netty已基本上手,但对IM安全方面的技术概念有点理不清,建议必读《基于Netty的IM聊天加密技术学习:一文理清常见的加密概念、术语等》。

3、什么是Netty

Netty是一个Java NIO技术的开源异步事件驱动的网络编程框架,用于快速开发可维护的高性能协议服务器和客户端。往通俗了讲,可以将Netty理解为:一个将Java NIO进行了大量封装,并大大降低Java NIO使用难度和上手门槛的超牛逼框架。(引用自《史上最通俗Netty框架入门长文:基本介绍、环境搭建、动手实战》)

PS:限于篇幅,对于Netty方面的入门知识就不再赘述,如有必要,请仔细跟着本文第二节“2、知识准备”里有关Netty的文章进行阅读。

4、什么是OpenSSL

OpenSSL是一个开放源代码的软件库,应用程序可以使用这个包来进行安全通信,它包括代码、脚本、配置和过程的集合。其主要库是以 C 语言所写成,实现了基本的加密功能,实现了 SSL 与 TLS 协议。OpenSSL整个软件包大概可以分成三个主要功能部分:SSL协议库、应用程序、密码算法库。

PS:OpenSSL的介绍就点到为止,如有兴趣,可仔细阅读《基于Netty的IM聊天加密技术学习:一文理清常见的加密概念、术语等》。

5、下载和安装OpenSSL

1)方法一:可以从OpenSSL的Github仓库下载源码自行编译(源码下载地址),对于一般使用者来说,自已编译着实有点麻烦,不推荐这么玩。

2)方法一:也可以从这个网站下载第3方编译好的OpenSSL安装程序(安装程序下载地址),这样上手简单快捷。具体可以参考《openssl安装教程(windows7系统,超详细)》这篇文章。

3)方法一:也可以直接用下面附件里的安装程序(这是我一直用的版本,版本较老,有兴趣可直接下载使用):

Openssl-windows-0.9.8k(52im.net).rar(874.97 KB , 下载次数: 1 , 售价: 1 金币)

4)解决 “openssl.cnf找不到” 的问题:如果你安装好OpenSSL后,使用时报“openssl.cnf找不到”或“计算机缺少openssl.cnf”等之类错误提示,可以下载下面这个 openssl.cnf文件。

openssl.cnf 文件附件下载:

openssl_conf(52im.net).rar(4.63 KB , 下载次数: 1 , 售价: 1 金币)

openssl.cnf 文件解压缩后:

openssl.cnf文件配置使用:

以下是 openssl.cnf 文件的配置使用命令:(以我的安装目录为例)

C:\Openssl-windows-0.9.8k-out32dll>set OPENSSL_CONF=c:/WINDOWS/system32/openssl.cnf

准备就绪,接下来我们就可以开始生成SSL/TLS证书了!

6、生成Netty可用的SSL/TLS证书

6.1概述

经过实践,生成Netty可用的SSL/TLS证书需要4步:

  • 1)创建私钥证书;
  • 2)将私钥格式转成pk8;
  • 3)创建证书请求;
  • 4)生成公钥证书。

接下来,跟着本节内容,一步步使用OpenSSL生成一个真正能在Netty中能使用的自签名证书。

6.2第一步:创建私钥证书

在CMD控制台下执行如下指令:(记得手动创建 netty 目录)

openssl genrsa -des3 -out netty/netty-key.pem 1024

提示:以上指令中,如无“-des3”参数,则Netty的代码中使用时将报“File does not contain valid private key”等错误(如下图所示)。

6.3第二步:将私钥格式转成pk8

在CMD控制台下执行如下指令:

openssl pkcs8 -innetty/netty-key2.pem -topk8 -out netty/netty-key2.pk8

提示1:如不转pk8格式,则Netty的代码中使用时会报以下错误:

提示2:如代码中不为key加入密码,则Netty的代码中使用时会报以下错误:

提示3:Netty的代码中使用时要加入上方生成Key证书时的密码即可:

6.4第三步:创建证书请求

在CMD控制台下执行如下指令:

openssl req -new -out netty/netty-req2.csr -key netty/netty-key2.pem

提示:经上指令中,Common Name指明的是证书绑定的域名,你可以用域名或ip,本次生成用了子域名。

6.5第四步:生成公钥证书

在CMD控制台下执行如下指令:

openssl x509 -req -inca/ca-req2.csr -out netty/netty-cert2.crt -signkey netty/netty-key2.pem -days 3650

提示:out 参数生成的是.crt,而在前面的是.pem,这只是扩展名区别,内容都一样。

6.6最终成果

至此,我们已经为Netty创建好了证书,接下来的章节,就是分享如何读取和使用这些证书的。

7、实战代码

7.1概述

本节将为你演示如何在基于Netty的IM中使用上节中生成的证书。

为了让示例代码更具实战意义,本节的示例代码将引用的是开源IM框架MobileIMSDK  的源码,如果有兴趣深入学习,可以从下面的开源仓库中下载到MobileIMSDK的完整源码。

7.2基于Netty的IM服务端如何开启SSL/TLS

首先将上节中生成的证书,放置到你的IM服务端磁盘目录下。以下截图和示例代码以MobileIMSDK的开源代码为例。

我们可以将证书放到这个位置:

使用证书的示例代码片段:(完整代码详见 ServerLauncherImpl.java

/**

* 创建SslContext对象,用于开启SSL/TLS加密传输。

*

* @return 如果成功创建则返回SslContext对象,否则返回null

*/

privatestaticSslContext createSslContext() {              

   try{

        // 证书文件

        InputStream certChainFile = ServerLauncherImpl.class.getResourceAsStream("certs/netty-cert2.crt");

        // 私钥文件(注意:Netty只支持.pk8格式)

        InputStream keyFile = ServerLauncherImpl.class.getResourceAsStream("certs/netty-key2.pk8");

        // 私钥密码

        String keyPassword = "123456";

        // 生成SslContext对象(为了方便理解,此处使用的是单向认证)

        SslContext sslCtx = SslContextBuilder.forServer(certChainFile, keyFile, keyPassword).clientAuth(ClientAuth.NONE).build();                

        returnsslCtx;

   } catch(Exception e) {

       logger.warn("createSslContext()时出错了,原因:"+e.getMessage(), e);

   }

   returnnull;

}

PS:如果你想自已动手完整运行一下,可以阅读《MobileIMSDK的Demo使用帮助:Server端》。

接下来的内容,我们将实现客户端连接到使用SSL/TLS证书的Netty IM服务端。

7.3Android端如何开启SSL/TLS

因为服务端已经开启了SSL/TLS加密,我们在开发IM的客户端时,该如何启用SSL/TLS呢(否则你未开启SSL/TLS的客户端肯定是连不上你的服务端的)?

这里为了方便示例,我们同样以 MobileIMSDK的Android端开源代码为例。

Android端开启SSL/TLS加密的示例代码片段:(完整代码详见 IMClientManager.java

/**

* 创建SslContext对象,用于开启SSL/TLS加密传输。

*

* @return 如果成功创建则返回SslContext对象,否则返回null

*/

publicSslContext createSslContext() {

       SslContext sslContext = null;

       try{

               sslContext = SslContextBuilder.forClient().trustManager(InsecureTrustManagerFactory.INSTANCE).build();

               Log.d(TAG, "【IMCORE-TCP】已开启SSL/TLS加密(单向认证),且sslContext创建成功。");

       } catch(Exception e) {

               Log.w(TAG, "【IMCORE-TCP】创建sslContext时出错,原因是:"+ e.getMessage(), e);

       }

       returnsslContext;

}

PS:如果你想自已动手完整运行一下,可以阅读《MobileIMSDK的Demo使用帮助:Android版》。

7.4iOS端如何开启SSL/TLS

同样的,iOS端该如何开启SSL/TLS呢?

这里我们依然以 MobileIMSDK的iOS端开源代码为例(MobileIMSDK的iOS使用的是 CocoaAsyncSocket 网络库,如果你也是用的它,就可以直接参考了,因为开启了SSL/TLS的CocoaAsyncSocket代码跟未开启加密的代码用法差异较多,且这方面可以参考的资料较少)。

iOS端开启SSL/TLS加密的示例代码片段:(完整代码详见 LocalSocketProvider.m

/**

* 当socket已经完整连接并准备好读和写数据时,将调用此方法。

*/

- (void)socket:(MBGCDAsyncSocket *)socket didConnectToHost:(NSString*)host port:(uint16_t)port

{

   if([ClientCoreSDK isENABLED_DEBUG])

       NSLog(@"【IMCORE-TCP-SOCKET】成收到的了TCP的connect反馈, isConnected? %d、已开启ssl加密? %d", [socket isConnected], [ClientCoreSDK isSSL]);

   // 如果未开启SSL加密传输,则正常进入连接完成后的代码逻辑

   if(![ClientCoreSDK isSSL]) {

       [selfwhenDidConnect:socket];

   }

   // 如果已开启SSL加密传输,则需要在回调中调用startTLS方法,以便实现跟服务端的SSL握手过程,

   // 如果ssl握手成功,则会通过 socketDidSecure: 回调通知开发者

   else{

       // 配置 SSL/TLS 设置信息

       NSMutableDictionary*settings = [NSMutableDictionarydictionaryWithCapacity:3];

       // 允许自签名证书手动验证

       [settings setObject:@YESforKey:GCDAsyncSocketManuallyEvaluateTrust];

       // 经测试,本项不设置并不影响SSL的启用

//      [settings setObject:@"此处填服务器IP地址" forKey:GCDAsyncSocketSSLPeerName];

       // 如果不是自签名证书,而是权威证书颁发机构注册申请的证书,这个settings字典可不传(将使用GCDAsyncSocket的默认配置)

       [socket startTLS:settings];

   }

}

/**

* 当SSL握手成功后(也就是上方调用startSSL:方法后),将调用此方法。

*/

- (void)socketDidSecure:(MBGCDAsyncSocket *)socket

{

   [selfwhenDidConnect:socket];

}

/**

* Allows a socket delegate to hook into the TLS handshake and manually validate the peer it's connecting to.

*/

- (void)socket:(MBGCDAsyncSocket *)sock didReceiveTrust:(SecTrustRef)trust completionHandler:(void(^)(BOOLshouldTrustPeer))completionHandler

{

   NSLog(@"【IMCORE-TCP-SOCKET】didReceiveTrust...");

   // 以下没有做更复杂的ssl证书验证逻辑,如您需要实现更强大的双向认证等逻辑,可以参考这里:

   // [url=https://github.com/FuangCao/cavan/blob/338ca8c09d6c78c5b38b95c6ffe994241afcc96e/xcode/TestSSL/TestSSL/ViewController.m]https://github.com/FuangCao/cava ... SL/ViewController.m[/url]

   if(completionHandler) {

       completionHandler(YES);

   }

}

说明:CocoaAsyncSocket中开启SSL/TLS并不像Android和Java中那么简单,它不只是几行代码的事,而是整个数据读取逻辑的变化。

PS:如果你想自已动手完整运行一下,可以阅读《MobileIMSDK的Demo使用帮助:iOS版》。

7.5Java桌面端如何开启SSL/TLS

Java桌面端开启SSL/TLS的代码跟Android端是一样。我们同样以 MobileIMSDKJava端开源代码为例。

Java桌面端开启SSL/TLS加密的示例代码片段:(完整代码详见 IMClientManager.java

/**

* 创建SslContext对象,用于开启SSL/TLS加密传输。

*

* @return 如果成功创建则返回SslContext对象,否则返回null

*/

publicSslContext createSslContext() {

       SslContext sslContext = null;

       try{

               sslContext = SslContextBuilder.forClient().trustManager(InsecureTrustManagerFactory.INSTANCE).build();

               Log.d(TAG, "【IMCORE-TCP】已开启SSL/TLS加密(单向认证),且sslContext创建成功。");

       } catch(Exception e) {

               Log.w(TAG, "【IMCORE-TCP】创建sslContext时出错,原因是:"+ e.getMessage(), e);

       }

       returnsslContext;

}

PS:如果你想自已动手完整运行一下,可以阅读《MobileIMSDK的Demo使用帮助:Java版》。

7.6H5端如何开启SSL/TLS

我这里说的H5端,指的是能支持标准HTML5端WebSocket协议的PC浏览器端、手机移动端内嵌的Web引擎等场景。

H5端能开启SSL/TLS有两个前提:

  • 1)第3方CA机构签发的SSL/TLS证书(这条是关键,不然浏览器因安全原因会阻止WebSocket连接的建立);
  • 2)基于Netty的IM服务端已开启SSL/TLS(见本章“7.2 基于Netty的IM服务端如何开启SSL/TLS”)。

满足以上两点后,H5端什么代码都不需改动,只需将请求url由“ws”改成“wss”:

8、参考资料

[1] MobileIMSDK开源工程源码

[2] 史上最通俗Netty框架入门长文:基本介绍、环境搭建、动手实战

[3] 基于Netty,从零开发IM

[4] 基于Netty的IM聊天加密技术学习:一文理清常见的加密概念、术语等

[5] IM聊天系统安全手段之通信连接层加密技术

[6] 通俗易懂:一篇掌握即时通讯的消息传输安全原理

[7] 探讨组合加密算法在IM中的应用

[8] openssl安装教程(windows7系统,超详细)

[9] WebSocket从入门到精通,半小时就够!


学习交流:

- 移动端IM开发入门文章:《新手入门一篇就够:从零开发移动端IM

- 开源IM框架源码:https://github.com/JackJiang2011/MobileIMSDK备用地址点此

(本文已同步发布于:http://www.52im.net/thread-4142-1-1.html

目录
相关文章
|
1月前
|
算法 安全 网络安全
阿里云SSL证书双11精选,WoSign SSL国产证书优惠
2024阿里云11.11金秋云创季活动火热进行中,活动月期间(2024年11月01日至11月30日)通过折扣、叠加优惠券等多种方式,阿里云WoSign SSL证书实现优惠价格新低,DV SSL证书220元/年起,助力中小企业轻松实现HTTPS加密,保障数据传输安全。
576 3
阿里云SSL证书双11精选,WoSign SSL国产证书优惠
|
1月前
|
算法 安全 数据建模
阿里云SSL证书限时优惠,WoSign DV证书220元/年起
2024年11月01日至11月30日,阿里云SSL证书限时优惠,部分证书产品新老同享75折起;阿里云用户通过完成个人或企业实名认证,还可领取不同额度的满减优惠券!通过优惠折扣、叠加满减优惠券等多种方式,阿里云WoSign SSL证书将实现优惠价格新低,DV SSL证书220元/年起!
612 5
阿里云SSL证书限时优惠,WoSign DV证书220元/年起
|
2月前
|
负载均衡 算法 网络安全
阿里云WoSign SSL证书申请指南_沃通SSL技术文档
阿里云平台WoSign品牌SSL证书是由阿里云合作伙伴沃通CA提供,上线阿里云平台以来,成为阿里云平台热销的国产品牌证书产品,用户在阿里云平台https://www.aliyun.com/product/cas 可直接下单购买WoSign SSL证书,快捷部署到阿里云产品中。
2274 8
阿里云WoSign SSL证书申请指南_沃通SSL技术文档
|
23天前
|
网络安全
给网站免费申请SSL证书
为网站申请免费SSL证书是提升安全性的关键步骤。本文简要介绍如何通过JoySSL申请并部署免费SSL证书,包括选择证书类型、提交申请、验证域名、下载及安装证书等步骤,同时提醒注意备份证书、定期检查状态和更新服务器配置。
|
24天前
|
缓存 安全 算法
SSL和TLS部署实践
在TLS中,所有安全性都以服务器的加密身份开始,这就需要一个强大的私钥来防止攻击者进行模拟攻击。同样重要的是拥有一个有效和强大的证书,它会授予私钥来代表一个特定的主机名。
38 2
|
27天前
|
存储 安全 网络安全
SSL网络安全证书,守护您的数字世界
SSL证书的应用场景广泛,它是保护网络通信安全的重要手段。无论是个人用户还是企业组织,都应该认识到SSL证书的重要性,并采取适当的措施来部署和使用SSL证书,以保护自己的数据和隐私不受侵害。
|
1月前
|
算法 数据建模 网络安全
阿里云SSL证书2024双11优惠,WoSign DV证书220元/年起
2024阿里云11.11金秋云创季火热进行中,活动月期间(2024年11月01日至11月30日),阿里云SSL证书限时优惠,部分证书产品新老同享75折起;通过优惠折扣、叠加满减优惠券等多种方式,阿里云WoSign SSL证书将实现优惠价格新低,DV SSL证书220元/年起。
591 5
|
1月前
|
网络协议 应用服务中间件 网络安全
2024阿里云免费版SSL证书申请流程,跟着教程一步步,非常简单!
2024年最新阿里云免费SSL证书申请流程,品牌为Digicert,每个阿里云账号可免费申请20张单域名证书,免费时长为3个月。申请流程包括登录数字证书管理服务控制台、创建证书、域名验证和下载证书。详情请参考阿里云官方页面。
523 2
|
1月前
|
存储 安全 算法
SSL和TLS部署实践
【10月更文挑战第28天】在TLS中,服务器的加密身份和强大私钥是安全基础,2048位RSA密钥足以满足大多数需求。保护私钥需在可信环境生成、加密存储、使用HSM、及时撤销旧证书、每年更新证书。确保证书覆盖所有域名,选择可靠CA,使用SHA256签名算法,配置完整证书链,禁用不安全加密套件,启用前向保密,使用会话重用机制,启用OCSP Stapling,加密整个网站,删除混合内容,安全设置Cookie,配置HSTS和CSP。
99 1
|
2月前
|
数据建模 网络安全
阿里云申请SSL证书价格多少钱一年?免费版和付费版价格手动整理
阿里云SSL证书提供多种类型和品牌的证书选择,包括免费和付费选项。付费证书如WoSign单域名SSL证书238元/年,DigiCert通配符DV证书1500元/年,GlobalSign企业型1864元/年。免费证书由Digicert提供,有效期3个月,适用于单域名。更多详情见阿里云官网。
593 1