Java - 公共密钥基础设施在通讯器中的实现

Question

我有一个任务是用PKI编写一个通信器。我考虑X.509证书的实现（Java） - 我的意思是允许数据/消息机密性的SSL/TLS，以及用于消息完整性的消息验证代码。关于这些我已经阅读过一些文献，而且都是理论性的。我不确定我是否正确思考。任何人都能很好地理解PKI的想法吗？能给我任何建议吗（例如网站在哪里可以很好的解释PKI的实现）？

Answer 1

由于ntoskrnl的评论，这是很难做到完全正确的，甚至是专家。

这是一个基本的高层次看PKI则需要SSL连接：

• 一个CA根密钥和相应的自签名的证书。
• 中间CA密钥和由CA根密钥签名的证书（这 是可选的）。
• 服务器标识密钥和由 中间CA或CA根签署的证书。
• 由服务器信任的某个CA签署的客户端身份密钥和证书。对于您的 学术工作，您可能希望此CA与您创建的CA相同。客户端身份只在需要双向（相互）SSL时才需要，服务器在客户端进行身份验证。

运行于像Tomcat这样可以配置为SSL的Web服务。在服务器端，身份将指向服务器密钥证书。对于双向SSL，服务器上还会有可信CA证书的列表或密钥库。除非客户的证书由其中一个可信CA签署，否则服务器将不允许客户端进行连接。

在客户端，您还需要可信CA证书列表或密钥库，服务器证书必须由这些CA的一个签名。建立SSL连接时，Java将使用客户端ID密钥和证书以及信任密钥库。如果您搜索堆栈溢出，您应该找到大量的Java SSL连接示例。

要创建PKI，OpenSSL是一个很好用的工具。这是一个实用的网站：

https://pki-tutorial.readthedocs.org/en/latest/simple/index.html

一键及其相应的证书，你首先创建一个私有密钥，然后创建一个证书签名请求（CSR）。然后通过CA密钥签署CSR，并成为证书。证书包含与用于创建CSR的私钥对应的公钥。

的Mac，这里有HMAC的Java示例：HMAC-SHA1: How to do it properly in Java?