使用 Java 的 OpenSSL

Question

我必须在 Java Web 项目中使用 OpenSSL，但我对“OpenSSL”一无所知。

如何将 OpenSSL 与我的项目集成？有没有什么好的基础教程可以学习这个？

Answer 1

在提出任何建议之前，您需要回答几个重要问题

1）您真的想从JAVA中调用C（本机）实现吗？

2) OpenSSL 中有哪些功能是 JCE 和 BouncyCastle 无法解决的

3) 范围是否仅限于使用 OpenSSL 生成的证书，解密 OpenSSL 生成的文件？

Answer 2

您可以使用 java\jdk\jre\bin 目录中的 keytool java 工具。

Answer 3

Apache Tomcat Native Library 就是解决方案。
https://github.com/apache/tomcat-native

它使用 OpenSSL 来实现 TLS/SSL 功能。您可以将它用作独立库（就像我所做的那样）或连接您的 Tomcat。它是一个开源项目，具有详细记录的 Java 代码。

为什么要原生tomcat？

JSSE 速度慢且难以使用。
在我的项目中，为了获得最佳性能，我们决定为 OpenSSL 查找/编写 JNI 包装器，因为动态升级证书的可能性是一个问号，而且密钥存储太复杂。

由于 Bouncy Castle Crypto API 是用 Java 编写的，因此您不能指望获得最佳效率。

Tomcat Native 是一个包装器，因此您只能使用 OpenSSL 版本的功能。

Answer 4

每个人都在谈论 BouncyCastle，但在我们的用例中，Gnu 加密库赢得了胜利。原生java。

对于某些客户来说，我们的数据库 (aerospike) 至少花费 10% 的时间在 java 中计算哈希值，这仅仅是因为这些实现速度很慢。我欢迎每台 Linux 机器上都有可用的加密库的本机实现。我认为一些 Java7 VM 将包含更多算法，但我还没有看到它们。

Answer 5

最佳解决方案：使用 Java 的内置安全性来执行简单任务，或使用 BouncyCastle 来执行更高级的任务。

如果您必须从 Java 使用 OpenSSL，您有 2 个选择：

1. 从 Java 调用 openssl 作为进程。
2. 为 OpenSSL 创建一个 JNI 层，但这对我来说完全是浪费时间。
   这些都不是真正好的方法。

Answer 6

有很多用于加密的 Java 本机库。然而，它们通常不能与 OpenSSL 完全互操作，有时速度明显慢（请参阅下面网站上的指标），并且并非所有平台都支持。 OpenSSL 几乎在所有平台上都受到支持，并且通常具有高性能。

话虽这么说，使用基于虚拟机的加密有一些安全优势。这也应该是一个考虑因素。

Apache 小组已经为 Java 构建了一个库，该库使用 JNI 访问 openssl 以进行 AES 加密。我认为这是使用 JNI 访问 openssl 的最佳公开示例，您可以使用 maven 轻松引用它。

https://github.com/apache/commons-crypto

如果你愿意，你可以拉取出库的 JNI 绑定部分并实现您需要的功能。

此 makefile 展示了如何使用 javah 从 .class 中获取构建 .c 代码所需的内容：

https://github.com/apache/commons-crypto/blob/master/Makefile

具体来说，Makefile 中的这一行调用 javah: $(JAVAH) -force -classpath $ (TARGET)/classes -o $@ org.apache.commons.crypto.cipher.OpenSslNative 基于 OpenSslNative.class 生成正确的“OpenSslNative.h”文件。

https://github.com/apache/commons-crypto/blob/master/src/main/java/org/apache/commons/crypto/cipher/OpenSslNative.java

注意如何导入java.nio .ByteBuffer; 用于允许 C 输出缓冲区。

相关的.c程序在这里：

https://github.com/apache/commons-crypto/blob/master/src/main/native/org/apache/commons/crypto/cipher/OpenSslNative.c

这是编写时考虑到了跨平台支持，并且是一个很好的例子。每个导出的函数都必须以 JNIEXPORT 开头，您可以看到每个函数名称中的完整类路径。

我见过很多不好的 JNI 绑定、传递字符串等。从坚实的基础开始，对于在 Java 中构建良好的 OpenSSL 集成大有帮助。

Answer 7

首先：你需要图书馆做什么？

• 如果您要使用简单的加密函数，请使用 Java SE 安全组件与 JDK 一起部署。
• 如果您需要更高级的功能（例如一些数字签名格式等），请使用加密库（BouncyCastle 是最受欢迎的之一）
• 但是，如果您需要从 Java 代码打开 SSL 连接并处理证书身份验证等，则不需要以下任何一个：
  • 如果您正在使用 Java EE 容器，您的容器可以验证传入的 SSL 请求：这只是一个配置问题
  • 此外，如果您需要连接到 SSL 端口，JDK 会提供一些用于执行此操作的基本类（请参阅 此示例）。请注意，在这种情况下，您需要在 java 命令上设置一些系统属性。

喜欢这些属性：

-Djavax.net.ssl.keyStore=keystore_path
-Djavax.net.ssl.keyStorePassword=password
-Djavax.net.ssl.trustStore=truststore_path
-Djavax.net.ssl.trustStorePassword=trustword