Netty配置SSL证书加密

在 Netty 中，配置 SSL 加密通信可以确保客户端和服务端之间的数据传输是加密的。要实现 SSL 加密通信，需要生成 SSL 证书，然后将其配置在 Netty 的客户端和服务端。

以下是一个完整的过程，包括如何使用 OpenSSL 生成证书并将其配置到 Netty 中。

1. 使用 OpenSSL 生成 SSL 证书

首先，使用 OpenSSL 生成自签名的 SSL 证书。

生成 CA (Certificate Authority) 证书

CA 证书可以用作签发服务器和客户端证书的根证书。

# 生成CA私钥
openssl genrsa -out ca.key 2048# 使用私钥生成自签名CA证书
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt -subj "/CN=NettyTestCA"

生成服务端证书

服务端证书用于加密传输数据的公钥和私钥。

bash复制代码# 生成服务端私钥
openssl genrsa -out server.key 2048# 生成服务端证书签名请求(CSR)
openssl req -new -key server.key -out server.csr -subj "/CN=localhost"# 使用CA签发服务端证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -sha256

生成客户端证书

客户端证书用于客户端身份验证。

# 生成客户端私钥
openssl genrsa -out client.key 2048# 生成客户端证书签名请求(CSR)
openssl req -new -key client.key -out client.csr -subj "/CN=client"# 使用CA签发客户端证书
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365 -sha256

此时你将拥有以下文件：

• ca.crt：CA 根证书
• server.key 和 server.crt：服务端私钥和公钥证书
• client.key 和 client.crt：客户端私钥和公钥证书
• "/CN=localhost"：是 X.509 证书的一部分，它通常代表该证书关联的主机名或标识名

2. 配置 Netty 服务端的 SSL

在服务端，需要使用 SslContext 来加载 SSL 证书，并将其添加到 Netty 的 Channel Pipeline 中。

import io.netty.bootstrap.ServerBootstrap;
import io.netty.channel.ChannelInitializer;
import io.netty.channel.ChannelPipeline;
import io.netty.channel.EventLoopGroup;
import io.netty.channel.nio.NioEventLoopGroup;
import io.netty.channel.socket.SocketChannel;
import io.netty.channel.socket.nio.NioServerSocketChannel;
import io.netty.handler.ssl.SslContext;
import io.netty.handler.ssl.SslContextBuilder;
import io.netty.handler.ssl.util.SelfSignedCertificate;import javax.net.ssl.SSLException;
import java.io.File;
import java.security.cert.CertificateException;public class NettySslServer {public static void main(String[] args) throws InterruptedException, SSLException, CertificateException {// 加载服务端的私钥和公钥File certChainFile = new File("server.crt");File keyFile = new File("server.key");File rootCertFile = new File("ca.crt");// 构建 SSL 上下文SslContext sslContext = SslContextBuilder.forServer(certChainFile, keyFile).trustManager(rootCertFile) // 加载CA证书，用于验证客户端证书.clientAuth(io.netty.handler.ssl.ClientAuth.REQUIRE) // 设置客户端认证.build();EventLoopGroup bossGroup = new NioEventLoopGroup();EventLoopGroup workerGroup = new NioEventLoopGroup();try {ServerBootstrap b = new ServerBootstrap();b.group(bossGroup, workerGroup).channel(NioServerSocketChannel.class).childHandler(new ChannelInitializer<SocketChannel>() {@Overridepublic void initChannel(SocketChannel ch) {ChannelPipeline pipeline = ch.pipeline();// 添加 SSL handlerpipeline.addLast(sslContext.newHandler(ch.alloc()));// 添加其他的业务处理 handlerpipeline.addLast(new MyServerHandler());}});// 绑定端口并启动b.bind(8443).sync().channel().closeFuture().sync();} finally {bossGroup.shutdownGracefully();workerGroup.shutdownGracefully();}}
}

3. 配置 Netty 客户端的 SSL

客户端同样需要加载 SSL 证书，并通过 SslContext 实现加密通信。

package com.demo.ssl;import io.netty.bootstrap.Bootstrap;
import io.netty.channel.*;
import io.netty.channel.nio.NioEventLoopGroup;
import io.netty.channel.socket.SocketChannel;
import io.netty.channel.socket.nio.NioSocketChannel;
import io.netty.handler.codec.string.StringEncoder;
import io.netty.handler.ssl.SslContext;
import io.netty.handler.ssl.SslContextBuilder;import javax.net.ssl.SSLException;
import java.io.File;
import java.util.concurrent.TimeUnit;public class NettySslClient {public static void main(String[] args) throws SSLException, InterruptedException {String path = "D:\\java\\IdeaProjectsTest\\spring-cloud-demo02\\netty-demo\\src\\main\\resources\\ca\\";// 加载客户端的私钥和公钥File certChainFile = new File(path + "client.crt");File keyFile = new File(path + "client.key");File rootCertFile = new File(path + "ca.crt");// 构建 SSL 上下文SslContext sslContext = SslContextBuilder.forClient().keyManager(certChainFile, keyFile)  // 加载客户端证书.trustManager(rootCertFile) // 加载 CA 证书.build();EventLoopGroup group = new NioEventLoopGroup();try {Bootstrap b = new Bootstrap();b.group(group).channel(NioSocketChannel.class).handler(new ChannelInitializer<SocketChannel>() {@Overridepublic void initChannel(SocketChannel ch) {ChannelPipeline pipeline = ch.pipeline();// 添加 SSL handlerpipeline.addLast(sslContext.newHandler(ch.alloc()));// 添加 StringEncoder，用于将 String 编码为 ByteBufpipeline.addLast(new StringEncoder());// 添加自定义的业务逻辑处理器pipeline.addLast(new ChannelInboundHandlerAdapter() {@Overridepublic void channelActive(ChannelHandlerContext ctx) throws Exception {ctx.executor().scheduleAtFixedRate(() -> {// 发送消息ctx.writeAndFlush("Hello from client at " + System.currentTimeMillis()).addListener((ChannelFutureListener) future -> {if (!future.isSuccess()) {System.err.println("Failed to send message: " + future.cause());}});}, 0, 1000, TimeUnit.MILLISECONDS);}@Overridepublic void channelRead(ChannelHandlerContext ctx, Object msg) {// 处理从服务端接收的数据System.out.println("Server responded: " + msg);}});}});// 连接到服务端ChannelFuture f = b.connect("localhost", 8443).sync();f.channel().closeFuture().sync();} finally {group.shutdownGracefully();}}
}

4. 验证加密通信

在运行客户端和服务端时，所有数据都会通过 SSL 加密。服务端和客户端会互相验证对方的证书。如果一切配置正确，客户端和服务端将成功建立 SSL 加密连接，所有传输的数据将被加密和解密。

总结

• 使用 OpenSSL 生成 CA、服务端和客户端的证书。
• 在 Netty 中，配置 SslContext 来加载证书，并将其应用到 ChannelPipeline 中。
• 通过 Netty 的 SslHandler 实现安全的加密数据传输，确保数据在传输过程中是加密的。