---

前言

软件许可（License）证书可以在软件产品交付的时候，对其使用时间以及使用范围进行授权。当用户申请（购买）改变使用时间和使用范围的时候，授权方可以为用户生成一个新的license替换原来的license即可，从而避免了修改源码、改动部署等繁琐操作。

---

一、公钥、私钥和证书介绍

1. 在互联网通信中，为了保证信息传输的安全，通常使用对称秘钥、非对称秘钥以及密码散列函数的方式对通信信息进行加密以及通信身份进行验证。对称秘钥即通信双方使用相同的秘钥对通信内容进行加密，这种方式应该是比较老旧的通信加密方式，通信安全程度较低。现在使用的较多的应该是非对称加密，每个人有自己的私钥，然后拥有授权的公钥。每人可以利用自己的私钥对要发送的信息进行加密，然后接受者通过发送者的公钥对信息进行解密。可以类比信箱，拥有公钥的人，可以向 信箱投送信件，拥有私钥的人可以打开信箱，读取信件。
2. 在这种通信方式中，可能存在C偷偷将B持有的A公钥换成自己的公钥，而B不知道自己拥有的A的公钥已经被替换，那么C就可以冒充A给B发送信息，而B相信此信息来自A。为了解决这个问题，需要对B持有的A的公钥进行认证，从而确定此公钥确实是A的公钥，而不是被别人篡改过的。而认证机构必须是第三方可信赖的机构，就是CA，由此发送过程就变成如下：

• A发给B数据的时候，除了要发送签名和数据实体，还要发送CA颁发的证书。
• B接收到A发送过来的数据后，首先用CA的公钥区解密证书，如果能解，表明这个证书里的信息可信赖，从而得到证书里A的公钥，然后B再用到后的公钥去做下一步动作。

在Truelicense中，license将和公钥一起发送给被授权者，在程序中，使用公钥对license进行解密，并校验其许可信息。

二、使用Java自带的Keytool生成公私钥库

Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥（key）和证书（certificates）存在一个称为keystore的文件中 在keystore里，包含两种数据：
密钥条目（Key entity）——密钥（secret key）又或者是私钥和配对公钥（采用非对称加密）
可信任的证书实体（trusted certificate entries）——只包含公钥

1、生成私钥库

执行以下代码生成私钥库：

keytool -genkeypair -keysize 1024 -validity 3650 -alias "privateKey" -keystore "privateKeys.keystore" -storepass "public_password1234" -keypass "private_password1234" -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN"

对上述代码的解释：

在当前目录下，生成一个名为privateKeys.keystore的密钥库，同时指定密钥库密码为public_password1234，第一个条目（秘钥）为privateKey，指定条目密码为private_password1234

2、将公钥导出至临时文件

执行以下代码将“privateKey”秘钥的公钥（即主体信息，包括公钥，不包括私钥，可公开）导出到名称为certfile.cer文件中：

keytool -exportcert -alias "privateKey" -keystore "privateKeys.keystore" -storepass "public_password1234" -file "certfile.cer"

3、将文件导入到公钥库（新建）

执行以下代码将上一步导出的certfile.cer文件中的公钥导入到公钥库：

keytool -import -alias "publicCert" -file "certfile.cer" -keystore "publicCerts.keystore" -storepass "public_password1234"

对代码的解释：

alias：条目别名
validity：证书有效期，单位：天
keystore：指定秘钥库的名称
storepass：指定秘钥库密码
keypass：指定别名对应密码（私钥密码）

执行完以上三步之后，会在当前文件夹下生成privateKeys.keystore、publicCerts.keystore、certfile.cer三个文件，其中certfile.cer文件为临时文件可以删除，可以将privateKeys.keystore、publicCerts.keystore备份出来，方便使用。文件privateKeys.keystore用来为用户生成License文件，publicCerts.keystore岁应用工程部署到客户服务期，用其解密License文件并校验其许可信息。

三、TrueLicense介绍

License是版权许可证，一般用于收费软件给付费用户提供的访问许可证明。根据应用部署位置不同，一般分为两种情况：

• 应用部署在开发者自己的云服务器上，这种情况下用户通过账号登录的形式远程访问，因此只需要在账户登录的时候校验目标账号的有效期，访问权限等信息就行。这种情况不需要设置服务器许可文件
• 应用部署在客户的内网环境，这种情况下，开发者无法控制客户的网络环境，也不能保证应用所在的服务器可以访问外网，因此常用的方法就是使用服务器许可文件，在应用启动的时候加载证书，然后在登录或者关键操作的地方校验证书的有效性。 需要设置服务器许可文件

TrueLicense是一个开源的证书管理引擎。主要的作用如下：

1. 生成秘钥对，使用Keytool生成公私钥证书库。
2. 授权者保留私钥，使用私钥对包含授权信息（如使用截止日期，MAC地址等）的license进行数字签名。
3. 公钥给使用者（放在验证的代码中使用），用于验证license是否符合使用条件。

四、Springboot整合Truelicense步骤

具体步骤如下：

1. 创建一个服务端项目和一个客户端项目。
2. 导入相关依赖以及相关类。
3. 调用服务器端接口，以秘钥库生成license文件。
4. 指定项目配置，启动客户端。
   具体代码就不在这里粘贴了，稍后会放到github上。

代码链接：https://github.com/Haojunzuo/license

五、代码简介

简单讲解一下代码内容：

代码里有两个项目：csm-server和csm-client分别是服务端和客户端。
csm-server是授权方，负责生成证书；csm-client是被授权方，需要使用证书和公钥获得授权。

csm-server除了设置默认的用户类型、授权时间等之外还可以自定义校验信息类LicenseCheckModel，该类包括IP地址、Mac地址、CPU序列号以及主板序列号等属性。如果需要校验这些机器硬件信息，则需要获取先获取机器的硬件信息。
具体的，定义一个AbstractServerInfos抽象类，有两个继承类：WindowsServerInfos和LinuxServerInfos，用来分别获取Windows机器的硬件信息和Linux机器的硬件信息。
LicenseCreatorParam是生成证书的参数类，里面定义了LicenseCheckModel的属性，即用来扩展校验信息。
LicenseCreator用于生成证书，具体地，把证书信息写入到证书文件里。
CustomKeyStoreParam用于定义秘钥库存放的位置。

csm-client主要实现对证书的安装以及验证操作。首先在项目启动的时候执行安装操作，即使用一个监听器，当监听到启动事件之后，触发证书安装。安装的过程中就会进行验证，如果验证失败，会终止项目。在项目关键位置设置拦截器，对路由进行拦截，然后进行证书验证，如果验证失败，则不能访问相关内容。
注意：需要将公钥和证书一起授予被授权方，被授权方使用的程序需要使用公钥解密证书，完成证书验证。

---

总结

昨天和今天主要对Truelicense进行了研究，由于之前没有了解过网络公钥私钥加密解密以及证书认证的内容，第一次弄这些东西还是使用了不少时间。接下来会将Truelicense实际运用到项目中。