1、引言
对于IM聊天利用来说,为了晋升安全性,对聊天音讯加密是惯例操作。
众所周之,Netty是高性能的Java NIO网络通信框架,因此用Netty来写IM是再失常不过了。网上对于为Netty生成、以及应用SSL/TLS证书的文章有很多,但因为各种起因,生成的证书要么是Netty中无奈读取和应用,要么是代码不全或不具体导致基本配不通SSL/TLS加密。
正好这段时间专门为 MobileIMSDK 生成了一套测试证书,棘手把这个过程记录了下来,分享给大家。
本文要分享的是如何应用OpenSSL生成在基于Netty的IM中真正可用的SSL/TLS证书,内容包含:证书的创立、创立过程中的留神点,以及在Server端、Android端、iOS端、Java桌面端、H5端应用证书的代码范例。
注:对于那些付费购买了第3方权威CA机构签发的证书,他们都有相应的应用文档,这就没什么好说的。本文里的证书指的是不须要花钱的自签名证书。
学习交换:
- 挪动端IM开发入门文章:《新手入门一篇就够:从零开发挪动端IM》
- 开源IM框架源码:https://github.com/JackJiang2...(备用地址点此)
(本文已同步公布于:http://www.52im.net/thread-41...)
2、常识筹备
► 如果你对IM零碎毫无概念,倡议先浏览《零根底IM开发入门(一):什么是IM零碎?》系列文章,通俗易懂,适宜小白。
► 如果你想零碎学习IM开发相干的理论知识,比方网格编程、IM架构设计等,倡议先浏览《新手入门一篇就够:从零开发挪动端IM》。
► 如果你不理解Netty是什么,倡议浏览以下几篇Netty的根底入门好文章:
- 1)新手入门:目前为止最透彻的的Netty高性能原理和框架架构解析
- 2)写给初学者:Java高性能NIO框架Netty的学习办法和进阶策略
- 3)史上最艰深Netty框架入门长文:根本介绍、环境搭建、入手实战
► 如果你已把握IM理论知识,同时也对Netty根本把握,正筹备入手实战,则能够浏览《基于Netty,从零开发IM》和《跟着源码学IM》这个系列文章,有各种入门级实战代码,图文并茂,适宜学习。
► 如果你对IM、Netty已基本上手,但对IM平安方面的技术概念有点理不清,倡议必读《基于Netty的IM聊天加密技术学习:一文理清常见的加密概念、术语等》。
3、什么是Netty
Netty是一个Java NIO技术的开源异步事件驱动的网络编程框架,用于疾速开发可保护的高性能协定服务器和客户端。往艰深了讲,能够将Netty了解为:一个将Java NIO进行了大量封装,并大大降低Java NIO应用难度和上手门槛的超牛逼框架。(援用自《史上最艰深Netty框架入门长文:根本介绍、环境搭建、入手实战》)
PS:限于篇幅,对于Netty方面的入门常识就不再赘述,如有必要,请认真跟着本文第二节“2、常识筹备”里无关Netty的文章进行浏览。
4、什么是OpenSSL
OpenSSL是一个凋谢源代码的软件库,应用程序能够应用这个包来进行平安通信,它包含代码、脚本、配置和过程的汇合。其次要库是以 C 语言所写成,实现了根本的加密性能,实现了 SSL 与 TLS 协定。OpenSSL整个软件包大略能够分成三个次要性能局部:SSL协定库、应用程序、明码算法库。PS:OpenSSL的介绍就点到为止,如有趣味,可仔细阅读《基于Netty的IM聊天加密技术学习:一文理清常见的加密概念、术语等》。
5、下载和装置OpenSSL
1)办法一:能够从OpenSSL的Github仓库下载源码自行编译(源码下载地址),对于个别使用者来说,自已编译着实有点麻烦,不举荐这么玩。
2)办法一:也能够从这个网站下载第3方编译好的OpenSSL安装程序(安装程序下载地址),这样上手简略快捷。具体能够参考《openssl装置教程(windows7零碎,超具体)》这篇文章。
3)办法一:也能够间接用上面附件里的安装程序(这是我始终用的版本,版本较老,有趣味可间接下载应用):
Openssl-windows-0.9.8k(52im.net).rar (874.97 KB , 下载次数: 1 , 售价: 1 金币)
4)解决 “openssl.cnf找不到” 的问题:如果你装置好OpenSSL后,应用时报“openssl.cnf找不到”或“计算机短少openssl.cnf”等之类谬误提醒,能够下载上面这个 openssl.cnf文件。openssl.cnf 文件附件下载:
openssl_conf(52im.net).rar (4.63 KB , 下载次数: 1 , 售价: 1 金币)openssl.cnf 文件解压缩后:
openssl.cnf文件配置应用:
以下是 openssl.cnf 文件的配置应用命令:(以我的装置目录为例)
C:\Openssl-windows-0.9.8k-out32dll>set OPENSSL_CONF=c:/WINDOWS/system32/openssl.cnf准备就绪,接下来咱们就能够开始生成SSL/TLS证书了!
6、生成Netty可用的SSL/TLS证书
6.1概述
通过实际,生成Netty可用的SSL/TLS证书须要4步:
1)创立私钥证书;
2)将私钥格局转成pk8;
3)创立证书申请;
4)生成公钥证书。
接下来,跟着本节内容,一步步应用OpenSSL生成一个真正能在Netty中能应用的自签名证书。
6.2第一步:创立私钥证书
在CMD管制台下执行如下指令:(记得手动创立 netty 目录)
openssl genrsa -des3 -out netty/netty-key.pem 1024
提醒:以上指令中,如无“-des3”参数,则Netty的代码中应用时将报“File does not contain valid private key”等谬误(如下图所示)。
6.3第二步:将私钥格局转成pk8
在CMD管制台下执行如下指令:
openssl pkcs8 -innetty/netty-key2.pem -topk8 -out netty/netty-key2.pk8
提醒1:如不转pk8格局,则Netty的代码中应用时会报以下谬误:
提醒2:如代码中不为key退出明码,则Netty的代码中应用时会报以下谬误:
提醒3:Netty的代码中应用时要退出上方生成Key证书时的明码即可:
6.4第三步:创立证书申请
在CMD管制台下执行如下指令:
openssl req -new -out netty/netty-req2.csr -key netty/netty-key2.pem
提醒:经上指令中,Common Name指明的是证书绑定的域名,你能够用域名或ip,本次生成用了子域名。
6.5第四步:生成公钥证书
在CMD管制台下执行如下指令:
openssl x509 -req -inca/ca-req2.csr -out netty/netty-cert2.crt -signkey netty/netty-key2.pem -days 3650
提醒:out 参数生成的是.crt,而在后面的是.pem,这只是扩展名区别,内容都一样。
6.6最终成绩
至此,咱们曾经为Netty创立好了证书,接下来的章节,就是分享如何读取和应用这些证书的。
7、实战代码
7.1概述
本节将为你演示如何在基于Netty的IM中应用上节中生成的证书。
为了让示例代码更具实战意义,本节的示例代码将援用的是开源IM框架MobileIMSDK 的源码,如果有趣味深刻学习,能够从上面的开源仓库中下载到MobileIMSDK的残缺源码。
1)GitHub.com 托管地址:https://github.com/JackJiang2...
2)码云gitee托管地址:https://gitee.com/jackjiang/M...
7.2基于Netty的IM服务端如何开启SSL/TLS
首先将上节中生成的证书,搁置到你的IM服务端磁盘目录下。以下截图和示例代码以MobileIMSDK的开源代码为例。
咱们能够将证书放到这个地位:
应用证书的示例代码片段:(残缺代码详见 ServerLauncherImpl.java)
/** * 创立SslContext对象,用于开启SSL/TLS加密传输。 * * @return 如果胜利创立则返回SslContext对象,否则返回null */privatestaticSslContext createSslContext() { try{ // 证书文件 InputStream certChainFile = ServerLauncherImpl.class.getResourceAsStream("certs/netty-cert2.crt"); // 私钥文件(留神:Netty只反对.pk8格局) InputStream keyFile = ServerLauncherImpl.class.getResourceAsStream("certs/netty-key2.pk8"); // 私钥明码 String keyPassword = "123456"; // 生成SslContext对象(为了不便了解,此处应用的是单向认证) SslContext sslCtx = SslContextBuilder.forServer(certChainFile, keyFile, keyPassword).clientAuth(ClientAuth.NONE).build(); returnsslCtx; } catch(Exception e) { logger.warn("createSslContext()时出错了,起因:"+e.getMessage(), e); } returnnull;}PS:如果你想自已入手残缺运行一下,能够浏览《MobileIMSDK的Demo应用帮忙:Server端》。接下来的内容,咱们将实现客户端连贯到应用SSL/TLS证书的Netty IM服务端。
7.3Android端如何开启SSL/TLS
因为服务端曾经开启了SSL/TLS加密,咱们在开发IM的客户端时,该如何启用SSL/TLS呢(否则你未开启SSL/TLS的客户端必定是连不上你的服务端的)?
这里为了不便示例,咱们同样以 MobileIMSDK的Android端开源代码为例。
Android端开启SSL/TLS加密的示例代码片段:(残缺代码详见 IMClientManager.java)
/** * 创立SslContext对象,用于开启SSL/TLS加密传输。 * * @return 如果胜利创立则返回SslContext对象,否则返回null */publicSslContext createSslContext() { SslContext sslContext = null; try{ sslContext = SslContextBuilder.forClient().trustManager(InsecureTrustManagerFactory.INSTANCE).build(); Log.d(TAG, "【IMCORE-TCP】已开启SSL/TLS加密(单向认证),且sslContext创立胜利。"); } catch(Exception e) { Log.w(TAG, "【IMCORE-TCP】创立sslContext时出错,起因是:"+ e.getMessage(), e); } returnsslContext;}PS:如果你想自已入手残缺运行一下,能够浏览《MobileIMSDK的Demo应用帮忙:Android版》。
7.4iOS端如何开启SSL/TLS
同样的,iOS端该如何开启SSL/TLS呢?
这里咱们仍然以 MobileIMSDK的iOS端开源代码为例(MobileIMSDK的iOS应用的是 CocoaAsyncSocket 网络库,如果你也是用的它,就能够间接参考了,因为开启了SSL/TLS的CocoaAsyncSocket代码跟未开启加密的代码用法差别较多,且这方面能够参考的材料较少)。
iOS端开启SSL/TLS加密的示例代码片段:(残缺代码详见 LocalSocketProvider.m)
/** * 当socket曾经残缺连贯并筹备好读和写数据时,将调用此办法。 */- (void)socket:(MBGCDAsyncSocket *)socket didConnectToHost:(NSString*)host port:(uint16_t)port{ if([ClientCoreSDK isENABLED_DEBUG]) NSLog(@"【IMCORE-TCP-SOCKET】成收到的了TCP的connect反馈, isConnected? %d、已开启ssl加密? %d", [socket isConnected], [ClientCoreSDK isSSL]); // 如果未开启SSL加密传输,则失常进入连贯实现后的代码逻辑 if(![ClientCoreSDK isSSL]) { [selfwhenDidConnect:socket]; } // 如果已开启SSL加密传输,则须要在回调中调用startTLS办法,以便实现跟服务端的SSL握手过程, // 如果ssl握手胜利,则会通过 socketDidSecure: 回调告诉开发者 else{ // 配置 SSL/TLS 设置信息 NSMutableDictionary*settings = [NSMutableDictionarydictionaryWithCapacity:3]; // 容许自签名证书手动验证 [settings setObject:@YESforKey:GCDAsyncSocketManuallyEvaluateTrust]; // 经测试,本项不设置并不影响SSL的启用// [settings setObject:@"此处填服务器IP地址" forKey:GCDAsyncSocketSSLPeerName]; // 如果不是自签名证书,而是权威证书颁发机构注册申请的证书,这个settings字典可不传(将应用GCDAsyncSocket的默认配置) [socket startTLS:settings]; }} /** * 当SSL握手胜利后(也就是上方调用startSSL:办法后),将调用此办法。 */- (void)socketDidSecure:(MBGCDAsyncSocket *)socket{ [selfwhenDidConnect:socket];} /** * Allows a socket delegate to hook into the TLS handshake and manually validate the peer it's connecting to. */- (void)socket:(MBGCDAsyncSocket *)sock didReceiveTrust:(SecTrustRef)trust completionHandler:(void(^)(BOOLshouldTrustPeer))completionHandler{ NSLog(@"【IMCORE-TCP-SOCKET】didReceiveTrust..."); // 以下没有做更简单的ssl证书验证逻辑,如您须要实现更弱小的双向认证等逻辑,能够参考这里: // [url=https://github.com/FuangCao/cavan/blob/338ca8c09d6c78c5b38b95c6ffe994241afcc96e/xcode/TestSSL/TestSSL/ViewController.m]https://github.com/FuangCao/cava ... SL/ViewController.m[/url] if(completionHandler) { completionHandler(YES); }}阐明:CocoaAsyncSocket中开启SSL/TLS并不像Android和Java中那么简略,它不只是几行代码的事,而是整个数据读取逻辑的变动。
PS:如果你想自已入手残缺运行一下,能够浏览《MobileIMSDK的Demo应用帮忙:iOS版》。
7.5Java桌面端如何开启SSL/TLS
Java桌面端开启SSL/TLS的代码跟Android端是一样。咱们同样以 MobileIMSDK的Java端开源代码为例。
Java桌面端开启SSL/TLS加密的示例代码片段:(残缺代码详见 IMClientManager.java)
/** * 创立SslContext对象,用于开启SSL/TLS加密传输。 * * @return 如果胜利创立则返回SslContext对象,否则返回null */publicSslContext createSslContext() { SslContext sslContext = null; try{ sslContext = SslContextBuilder.forClient().trustManager(InsecureTrustManagerFactory.INSTANCE).build(); Log.d(TAG, "【IMCORE-TCP】已开启SSL/TLS加密(单向认证),且sslContext创立胜利。"); } catch(Exception e) { Log.w(TAG, "【IMCORE-TCP】创立sslContext时出错,起因是:"+ e.getMessage(), e); } returnsslContext;}PS:如果你想自已入手残缺运行一下,能够浏览《MobileIMSDK的Demo应用帮忙:Java版》。
7.6H5端如何开启SSL/TLS
我这里说的H5端,指的是能反对规范HTML5端WebSocket协定的PC浏览器端、手机挪动端内嵌的Web引擎等场景。
H5端能开启SSL/TLS有两个前提:
1)第3方CA机构签发的SSL/TLS证书(这条是要害,不然浏览器因平安起因会阻止WebSocket连贯的建设);
2)基于Netty的IM服务端已开启SSL/TLS(见本章“7.2 基于Netty的IM服务端如何开启SSL/TLS”)。
满足以上两点后,H5端什么代码都不需改变,只需将申请url由“ws”改成“wss”:
8、参考资料
[1] MobileIMSDK开源工程源码
[2] 史上最艰深Netty框架入门长文:根本介绍、环境搭建、入手实战
[3] 基于Netty,从零开发IM
[4] 基于Netty的IM聊天加密技术学习:一文理清常见的加密概念、术语等
[5] IM聊天系统安全伎俩之通信连贯层加密技术
[6] 通俗易懂:一篇把握即时通讯的音讯传输平安原理
[7] 探讨组合加密算法在IM中的利用
[8] openssl装置教程(windows7零碎,超具体)
[9] WebSocket从入门到精通,半小时就够!
(本文已同步公布于:http://www.52im.net/thread-41...)