TCP communication with SSL

在物联网项目中，为了确保通信内容的保密性，我们会采用SSL协议对通信内容进行加密。 SSL协议是一个应用层的协议，可以加载在自定义应用层协议的外层，实现SSL协议需要用到第三方CA签发的证书来完成SSL验证。 以下记录GlobalSign证书使用流程： 1、证书申请： a)对于应用在Tomcat，Nginx,Weblogic等web应用服务器上的证书，一般采用OpenSSL进行申请。

b)对于C/S架构的java Application，则使用java的keytool工具进行申请。
  首先，使用keytool命令生成一个带有私钥的keystore。
  keytool -genkey -alias "证书别名" -keysize 2048 -validity 3650 -keyalg RSA 
  在申请服务器证书时，用户需要提供证书签名请求文件(CSR)。CSR文件是一个从您的服务器生成的加密数据文件，包含了您的公司信息和web server信息。

　　一、 创建证书Keystore

　　keytool -genkey -alias -keyalg RSA –keysize 2048 -keystore

　　重要:

　　! 当创建时必须制定您的keystore 位置;

　　! 如果您正在续订您的证书，您必须创建新的key pair 和 keystore;

　　! 创建您的CSR和安装您的证书，您使用它来创建自签名的密钥存储库时，请使用相同的别名。

　　例如:

　　C:> keytool -genkey -alias myalias -keysize 2048 -keyalg RSA -keystore c:.mykeystore

　　输入keystore密码: password (请输入保护证书密钥的密码)

　　您的名字与姓氏是什么?请输入域名,例如：www.etsec.com.cn

　　您的组织单位名称是什么?请输入单位名称，如: Beijing eTsec Technology Co.,Ltd.

　　您的组织名称是什么?请输入部门名称，如： IT Dept

　　您所在的城市或区域名称是什么?输入城市名称，如：Beijing

　　您所在的州或省份名称是什么?输入省份名称，如：Beijing

　　该单位的两字母国家代码是什么?中国请输入CN

　　CN=www.etsec.com.cn, OU= Beijing eTsec, O=IT, L= Beijing, ST= Beijing, C=CN 正确吗?输入 Y

　　输入的主密码(如果和 keystore 密码相同，按回车)：按回车

　　确保记住您所输入的密码，注意生成CSR时，在第2部分中会使用它。

　　二、生成证书签名请求(CSR)

　　1. keytool -certreq -keyalg RSA -alias -file certreq.csr -keystore

　　重要:

　　! 创建您的CSR和安装您的证书，您使用它来创建自签名的密钥存储库时，请使用相同的别名。

　　例如:

　　C:>keytool -certreq -keyalg RSA -alias myalias -file certreq.txt -keystore c:.mykeystore

　　输入keystore密码: