我必须在 Java Web 项目中使用 OpenSSL,但我对“OpenSSL”一无所知。
如何将 OpenSSL 与我的项目集成?有没有好的基础教程来学习这个?
【问题讨论】:
javax.crypto 或 bouncycastle 有什么问题?
javax.crypto 包一无所知,当我试图糊弄Oracle 网站时分心了。
在提出任何建议之前,您需要回答几个重要问题
1) 你真的要从 JAVA 中调用 C(native) 实现吗?
2) OpenSSL 中有哪些特性是 JCE 和 BouncyCastle 无法解决的
3) 范围是否仅限于使用 OpenSSL 生成的证书,解密 OpenSSL 生成的文件?
【讨论】:
首先:你需要图书馆做什么?
喜欢这些属性:
-Djavax.net.ssl.keyStore=keystore_path
-Djavax.net.ssl.keyStorePassword=password
-Djavax.net.ssl.trustStore=truststore_path
-Djavax.net.ssl.trustStorePassword=trustword
【讨论】:
最佳解决方案:将 Java 的内置安全性用于简单任务,或将 BouncyCastle 用于更高级的任务。
如果你必须从 Java 中使用 OpenSSL,你有 2 个选择:
【讨论】:
每个人都在谈论 BouncyCastle,但在我们的用例中,Gnu Crypto 库赢得了胜利。本机java。
对于某些客户来说,我们的数据库 (aerospike) 至少有 10% 的时间在 java 中计算哈希值,这仅仅是因为这些实现很慢。当每台 Linux 机器上都有可用的加密库的本机实现时,我欢迎。我认为一些 Java7 VM 会包含更多算法,但我还没有看到它们。
【讨论】:
有很多用于加密的 Java 原生库。但是,它们通常完全无法与 OpenSSL 互操作,有时速度明显较慢(请参阅下面网站上的指标),并且并非在所有平台上都受支持。几乎所有平台都绝对支持 OpenSSL,并且通常具有高性能。
话虽如此,使用基于 VM 的加密具有一些安全优势。这也应该是一个考虑因素。
Apache 小组为 Java 构建了一个库,该库使用 JNI 访问 openssl 以进行 AES 加密。我认为这是使用JNI访问openssl的最佳公开示例,您可以使用maven轻松引用它。
https://github.com/apache/commons-crypto
如果你愿意,你可以拉出库的 JNI 绑定部分并实现你需要的功能。
这个 makefile 展示了如何使用 javah 从 .class 中获取构建 .c 代码所需的内容:
https://github.com/apache/commons-crypto/blob/master/Makefile
具体来说,Makefile 中的这一行调用 javah:$(JAVAH) -force -classpath $(TARGET)/classes -o $@ org.apache.commons.crypto.cipher.OpenSslNative 以根据 OpenSslNative.class 生成正确的“OpenSslNative.h”文件。
注意import java.nio.ByteBuffer; 是如何用于允许 C 输出缓冲区的。
相关的.c程序在这里:
它在编写时考虑了跨平台支持,是一个很好的例子。每个导出的函数都必须以JNIEXPORT 开头,您可以在每个函数名称中看到完整的类路径。
我见过很多糟糕的 JNI 绑定、传递字符串等等。从坚实的基础开始,对于在 Java 中构建良好的 OpenSSL 集成大有帮助。
【讨论】:
Apache Tomcat Native Library 就是解决方案。 https://github.com/apache/tomcat-native
它将 OpenSSL 用于 TLS/SSL 功能。您可以将它用作独立库(就像我一样)或连接您的 Tomcat。它是一个开源项目,具有良好记录的 Java 代码。
为什么是 tomcat 原生的?
JSSE 速度慢且难以使用。 在我的项目中,为了获得最佳性能,我们决定为 OpenSSL 查找/编写 JNI 包装器,因为即时升级证书的可能性是一个问号,而且密钥库太复杂了。
由于 Bouncy Castle Crypto API 是用 Java 编写的,因此您无法期望获得最佳效率。
Tomcat Native 是一个包装器,因此您只能使用 OpenSSL 版本的功能。
【讨论】:
您可以在java\jdk\jre\bin 目录中使用keytool java 工具。
【讨论】: