http是无状态的,https是在http应用层协议和tcp传输控制层之间加了一层,主要功能包括加密传输内容,校验信息是否完整,信息是否被篡改等。http的网络传输,源端应用层发送http请求,传输到源端的控制层,网络层,物理层->到对方的物理层->网络层->传输控制层->应用层,https就是在两边的控制层和应用层之间加了一层SSL/TLS协议层。发送时将http的明文加密,接收时解密,校验是否完整,是否被篡改,在正确无误的明文发送给目标端的应用层,作为http报文。
发送方:应用层http明文->SSL/TLS->秘文->控制层 接收方:控制层秘文->SSL/TLS->明文-应用层http
加密方式,分为对称加密,非对称加密;对称加密,加密强度弱,耗时短,使用相同的key加解密;非对称加密,加密强度高,耗时长,一个使用公钥,一个使用私钥。
tls握手流程:
步骤一:tls握手和密钥交换(非对称加密阶段)
1.客户端发送自己tls版本,支持的加密方式,随机数
2.服务器回复选择的加密方式,随机数和证书,证书包括认证机构,服务器地址,公钥,有效期等
3.客户端验证证书。查看证书的公钥,服务器地址,过期时间ca签名等
4.客户端生成一个用于对数据加密的对称密钥,并用服务器的公钥将这个对称密钥加密,传输给服务器
5.服务器用私钥解密,获取到对称密钥。
步骤二:数据传输,对称加密阶段
每次发送数据,使用对称密钥对数据进行加密,服务器解密后传输给应用层。再将引用层的响应信息加密发送给客户端。
java发送https请求需要怎么做
1.生产环境必须使用权威CA颁发的证书,禁止信任所有证书。
2.自签名证书仅限测试环境,生产环境使用会到安全风险。
3.导入证书到JVM信任库
通过keytool将CA证书导入JVM默认信任库cacerts:
keytool -import -alias server_cert -file server.crt -keystore $JAVA_HOME/lib/security/cacerts
输入默认密码changeit,完成后重启应用生效。
若需要隔离应用证书,可创建独立的信任库:
keytool -import -alias my_ca -file ca.crt -keystore /path/to/my_truststore.jks #启动时指定JVM参数: -Djavax.net.ssl.trustStore=/path/to/my_truststore.jks -Djavax.net.ssl.trustStorePassword=your_password ```[6,8](@ref)
https请求实现方式:
1.使用JAVA标准库
import javax.net.ssl.HttpsURLConnection;
import java.net.URL;
import java.io.BufferedReader;
import java.io.InputStreamReader;
public class HttpsExample {
public static void main(String[] args) throws Exception {
URL url = new URL("https://api.example.com/data");
HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
conn.setRequestMethod("GET");
// 验证响应
try (BufferedReader in = new BufferedReader(new InputStreamReader(conn.getInputStream()))) {
String line;
while ((line = in.readLine()) != null) {
System.out.println(line);
}
}
}
}
2.使用Apache HttpClient(推荐)
#maven依赖
<dependency>
<groupId>org.apache.httpcomponents</groupId>
<artifactId>httpclient</artifactId>
<version>4.5.13</version>
</dependency>
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContexts;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.util.EntityUtils;
public class HttpClientExample {
public static void main(String[] args) throws Exception {
// 加载信任库(可选,默认使用JVM信任库)
SSLContext sslContext = SSLContexts.custom()
.loadTrustMaterial(null, (chain, authType) -> true) // 生产环境需替换为证书验证逻辑
.build();
try (CloseableHttpClient httpClient = HttpClients.custom()
.setSSLContext(sslContext)
.build()) {
HttpGet httpGet = new HttpGet("https://api.example.com/data");
HttpResponse response = httpClient.execute(httpGet);
String result = EntityUtils.toString(response.getEntity());
System.out.println(result);
}
}
}
3.使用OkHttp(高性能首选)
<dependency>
<groupId>com.squareup.okhttp3</groupId>
<artifactId>okhttp</artifactId>
<version>4.11.0</version>
</dependency>
import okhttp3.OkHttpClient;
import okhttp3.Request;
import okhttp3.Response;
public class OkHttpExample {
public static void main(String[] args) throws Exception {
OkHttpClient client = new OkHttpClient.Builder()
.sslSocketFactory(sslContext.getSocketFactory(), trustManager) // 生产环境需配置真实TrustManager
.build();
Request request = new Request.Builder()
.url("https://api.example.com/data")
.build();
try (Response response = client.newCall(request).execute()) {
System.out.println(response.body().string());
}
}
}
为什么客户端需要安装CA证书?
1.验证服务器身份(核心作用)
服务器证书的合法性验证:当客户端(java程序)访问HTTPS服务器时,服务器会返回它的数字证书,客户端需要使用CA证书验证服务器证书是否由可信结构签发,是否被篡改,域名是否匹配等。
2.信任链的建立
证书链验证:服务器证书通常由中间CA签发,而中间CA的合法性需由根CA证书验证。java默认信任库(cacerts)内置了权威CA的根证书,用于逐级验证整个证书链。
未安装CA证书的后果:若服务器证书的签发CA不在客户端信任库中,Java会抛出异常,拒接链接。
开发环境与生产环境为什么不同?
1.开发环境:开发测试时使用自签名证书(非CA签发),浏览器或Java默认不信任此类证书。
验证方式:
1.忽略验证(仅限测试):通过自定义TrustManager跳过证书检查(高风险,生产禁用)
2.手动导入信任库:将自签名证书导入JVM的cacerts文件,使java临时信任该证书。
keytool -import -alias dev_cert -file dev.crt -keystore $JAVA_HOME/lib/security/cacerts
目的:快速测试HTTPS功能,避免频繁申请CA证书的成本。
2.生产环境:必须使用权威CA(如Let's Encrypt,DigiCert)签发的证书,确保全局可信
验证机制:
1.自动信任链验证:依赖JVM内置的cacerts信任库(含主流CA根证书),无需额外配置。
2.证书生命周期管理:需监控有效期,及时续期,避免服务中断
生产环境代码应该如何修改?
####
//替换开发代码中的跳过验证部分.loadTrustMaterial(null,(chain,authType)->true)
KeyStore trustStore = KeyStore.getInstance("JKS");
try (InputStream is = new FileInputStream("truststore.jks")) {
trustStore.load(is, "truststore_password".toCharArray());
}
SSLContext sslContext = SSLContexts.custom()
.loadTrustMaterial(trustStore, null) // 启用信任库验证
.build();
双向验证:
若需客户端证书认证(如银行接口):
KeyStore keyStore = KeyStore.getInstance("PKCS12");
keyStore.load(new FileInputStream("client.p12"), "client_pass".toCharArray());
SSLContext sslContext = SSLContexts.custom()
.loadKeyMaterial(keyStore, "client_pass".toCharArray()) // 加载客户端证书
.loadTrustMaterial(trustStore, null) // 加载信任库
.build();
生产环境完整代码示例:
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContexts;
import org.apache.http.util.EntityUtils;
import java.io.FileInputStream;
import java.security.KeyStore;
public class ProductionHttpsClient {
public static void main(String[] args) throws Exception {
// 1. 加载信任库(生产环境使用CA证书)
KeyStore trustStore = KeyStore.getInstance("JKS");
try (InputStream is = new FileInputStream("/path/to/truststore.jks")) {
trustStore.load(is, "truststore_pass".toCharArray());
}
// 2. 初始化SSLContext(启用完整证书验证)
SSLContext sslContext = SSLContexts.custom()
.loadTrustMaterial(trustStore, null) // 关键修改:启用CA验证
.build();
// 3. 创建HttpClient(使用默认域名校验)
try (CloseableHttpClient httpClient = HttpClients.custom()
.setSSLContext(sslContext)
.build()) {
// 4. 发送请求
HttpGet httpGet = new HttpGet("https://api.example.com/data");
try (CloseableHttpResponse response = httpClient.execute(httpGet)) {
String result = EntityUtils.toString(response.getEntity());
System.out.println(result);
}
}
}
}
生产环境注意事项
1.证书管理
监控CA证书有效期,提前续期(如Let's Encrypt证书90天有效期)
定期更新JVM信任库(cacerts),确保包含最新根证书。
2.协议与加密套件
强制使用TLSv1.2+,禁用弱算法(如SSLv3,TLSv1.0)
SSLContext sslContext = SSLContext.getInstance("TLSv1.3");
3.异常处理
捕获SSLHandshakeExceptioni并记录详细日志,快速定位证书问题
4.性能开销
复用CloseableHttpClient实例,减少SSL握手开销
为什么开发环境不能共用生产的根证书
1.安全漏洞放大
开发环境常使用自签名证书,若将其导入生产信任库,攻击者可通过伪造相同域名的自签名证书劫持通信
生产根证书被用于开发环境时,测试证书的泄露可能危及生产系统信任链
2.证书管理混乱
开发证书频繁变更:测试需快速迭代,证书常重置或替换,若共用会导致生产信任库频繁更新,引发服务中断
3.验证策略冲突
开发环境往往需跳过严格验证(如
NoopHostnameVerifier),而生产环境必须启用完整验证(域名匹配、证书链校验共用配置会强制生产环境降低安全标准,或让开发环境无法调试
4.合规与审计风险
行业标准(如 PCI DSS)要求生产环境证书必须由公共 CA 签发并独立管理,共用会导致审计失败