https自签名证书验证相关代码

最新推荐文章于 2019-08-07 11:14:52 发布
最新推荐文章于 2019-08-07 11:14:52 发布
阅读量2.1k 收藏
点赞数
分类专栏: 笔记

https://www.jianshu.com/p/64172ccfb73b

一.单向认证:

    Https在建立Socket连接之前,需要进行握手。
    (1)客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。
    (2)服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书
    (3)客户端使用服务端返回的信息验证服务器的合法性,包括:证书是否过期,发型服务器证书的CA是否可靠,返回的公钥是否能正确解开返回证书中的数字签名  ,服务器证书上的域名是否和服务器的实际域名相匹配,验证通过后,将继续进行通信,否则,终止通信
        (4)客户端向服务端发送自己所能支持的对称加密方案,供服务器端进行选择。
    (5)服务器端在客户端提供的加密方案中选择加密程度最高的加密方式。
     (6)服务器将选择好的加密方案通过明文方式返回给客户端,
    (7)客户端接收到服务端返回的加密方式后,使用该加密方式生成产生随机码,用作通信过程中对称加密的密钥,
  使用服务端返回的公钥进行加密,将加密后的随机码发送至服务器。
    (8)服务器收到客户端返回的加密信息后,使用自己的私钥进行解密,获取对称加密密钥。 
    在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全。
二.双向认证
   双向认证和单向认证原理基本差不多,只是除了客户端需要认证服务端以外,增加了服务端对客户端的认证。
   (1)客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。
   (2)服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书。
   (3)客户端使用服务端返回的信息验证服务器的合法性,包括:
         证书是否过期
         发型服务器证书的CA是否可靠
         返回的公钥是否能正确解开返回证书中的数字签名
         服务器证书上的域名是否和服务器的实际域名相匹配
         验证通过后,将继续进行通信,否则,终止通信
   (4)服务端要求客户端发送客户端的证书,客户端会将自己的证书发送至服务端
   (5)验证客户端的证书,通过验证后,会获得客户端的公钥
     (6)客户端向服务端发送自己所能支持的对称加密方案,供服务器端进行选择
    (7)服务器端在客户端提供的加密方案中选择加密程度最高的加密方式
    (8)将加密方案通过使用之前获取到的公钥进行加密,返回给客户端
    (9)客户端收到服务端返回的加密方案密文后,使用自己的私钥进行解密,获取具体加密方式,而后,产生该加密方式的随机码,用作加密过程中的密钥,
使用之前从服务端证书中获取到的公钥进行加密后,发送给服务端
    (10)服务端收到客户端发送的消息后,使用自己的私钥进行解密,获取对称加密的密钥,在接下来的会话中,
服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全。 
import java.io.IOException;
import java.io.InputStream;
import java.net.URL;
import java.security.KeyStore;
import java.security.SecureRandom;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;
import javax.net.ssl.X509TrustManager;
import okhttp3.OkHttpClient;

public class SafeOkHttp {
    /**
     * 访问在认证机构有认证的https访问
     * @param hostHome 需要访问的地址
     * @return OkHttpClient
     */
    public static OkHttpClient getUnsafeOkHttpClient(final String hostHome) {
        try {
            // Create a trust manager that does not validate certificate chains
            final TrustManager[] trustAllCerts = new TrustManager[]{new X509TrustManager() {
                @Override
                public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
                }
                @Override
                public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
                }
                @Override
                public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                    return null;
                }
            }};
            // Install the all-trusting trust manager
            final SSLContext sslContext = SSLContext.getInstance("SSL");
            sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
            // Create an ssl socket factory with our all-trusting manager
            final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
            OkHttpClient okHttpClient = new OkHttpClient.Builder().sslSocketFactory(sslSocketFactory).hostnameVerifier(new HostnameVerifier() {
                @Override
                public boolean verify(String hostname, SSLSession session) {
                    if (hostname.equals(hostHome))
                        return true;
                    else
                        return false;
                }
            }).build();
            return okHttpClient;
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }

    /**
     * 获取带有制定输入流的认证证书的 OkHttpClient
     * 构造CertificateFactory对象,通过它的generateCertificate(is)方法得到Certificate。
     * 然后讲得到的Certificate放入到keyStore中。
     * 接下来利用keyStore去初始化我们的TrustManagerFactory
     * 由trustManagerFactory.getTrustManagers获得TrustManager[]初始化我们的SSLContext
     * 最后,设置我们mOkHttpClient.setSslSocketFactory即可。
     * @param certificates 证书输入流
     * @return OkHttpClient
     * @throws Exception
     */
    public static OkHttpClient setCertificates(final URL url,InputStream... certificates) throws Exception {
        CertificateFactory factory = CertificateFactory.getInstance("X.509");
        KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        keyStore.load(null);
        int index = 0;
        for (InputStream is : certificates) {
            String certificateAlias = Integer.toString(index++);
            keyStore.setCertificateEntry(certificateAlias, factory.generateCertificate(is));
            try {
                if (is != null) {
                    is.close();
                }
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        SSLContext sslContent = SSLContext.getInstance("TLS");
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init(keyStore);
        sslContent.init(null, trustManagerFactory.getTrustManagers(), new SecureRandom());
        OkHttpClient client = new OkHttpClient.Builder().sslSocketFactory(sslContent.getSocketFactory()).hostnameVerifier(new HostnameVerifier() {
            @Override
            public boolean verify(String hostname, SSLSession session) {
                if (hostname.equals(url.getHost())){
                    return true;
                }
                return false;
            }
        }).build();
        return client;
    }

    /**
     * 双向证书验证
     * 详见:Https的证书生成和相关代码
     * 获取带有制定输入流的认证证书的 OkHttpClient
     * @param certificates 证书输入流
     * @return OkHttpClient
     * @throws Exception
     */
    public static OkHttpClient setCertificatesTwo(final URL url,InputStream keyClient,String password,InputStream... certificates) throws Exception {
        //初始化公钥
        CertificateFactory factory = CertificateFactory.getInstance("X.509");
        KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        keyStore.load(null);
        int index = 0;
        for (InputStream is : certificates) {
            String certificateAlias = Integer.toString(index++);
            keyStore.setCertificateEntry(certificateAlias, factory.generateCertificate(is));
            try {
                if (is != null) {
                    is.close();
                }
            } catch (IOException e) {
                e.printStackTrace();
            }
        }

        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init(keyStore);

        //初始化Android端的密钥
        KeyStore keyClientStore = KeyStore.getInstance("PKCS12");
        keyClientStore.load(keyClient, password.toCharArray());
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        keyManagerFactory.init(keyClientStore,password.toCharArray());
//        KeyManager keyManager = new MyX509KeyManager(keyClientStore,password,keyManagerFactory.getKeyManagers());
//        KeyManager[] keyManagerArray = keyManagerFactory.getKeyManagers();
//        keyManagerArray[0] = keyManager;

        SSLContext sslContent = SSLContext.getInstance("TLS");
        sslContent.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());
        OkHttpClient client = new OkHttpClient.Builder().sslSocketFactory(sslContent.getSocketFactory()).hostnameVerifier(new HostnameVerifier() {
            @Override
            public boolean verify(String hostname, SSLSession session) {
                if (hostname.equals(url.getHost())){
                    return true;
                }
                return false;
            }
        }).build();
        return client;
    }
}


Java平台默认识别jks格式的证书文件,但是android平台只识别bks格式的证书文件

Portecle下载Download portecle-1.9.zip (3.4 MB)

解压后,里面包含 bcprov.jar文件,使用jave -jar bcprov.jar即可打开GUI界面

张鸿洋https详解,包含如何生成自签名证书

张建良_19890510
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码签名证书专题软文.doc
03-17
代码签名证书是一种数字证书,运用一种数字签名技术对 .exe, .dll, .cab, .msi, .ocx, .sys, .cat, .vbs等类型的文件签名,从而建立了一种数字化的验证及保护,以大幅提高文件的安全性和可信性。 代码签名证书是提供给软件开发者,对其开发的软件代码进行数字签名的数字证书,用于验证开发者身份真实性、保护代码的完整性。用户下载软件时,能通过数字签名验证软件来源可信,确认软件没有被非法篡改或植入病毒木马,保护用户不会被病毒、恶意代码和间谍软件所侵害,也保护了软件开发者的利益,让软件能在互联网上快速安全地发布。
阿里云短信服务详细说明与实战开发后端代码
是谢添啊
04-01 4755
短信服务背景,短信发送流程,阿里云短信服务基本说明,开通阿里云短信服务与购买短信套餐包,短信服务帮助文档,手机短信模板介绍,手机验证码模板规范,,短信签名规范,手机验证码模板示例,国内短信服务定价,短信发送规则,用户与用户组权限管理,添加签名,添加模板,阿里云短信服务sdk,短信服务调用 api 后响应的返回数据,ubuntu安装docker的步骤,使用 docker 安装redis并设置密码的步骤
HttpClient配置SSL
chenzhi5174的博客
04-29 1845
先定义一个properties属性类: @Component @ConfigurationProperties(prefix = "dc.security.https.httpclient") public class HttpClientProperties { /** *...
HTTPS请求流程(证书签名验证过程)
gsn1125227的博客
08-07 5407
在如今互联网高速发展,技术人员技术日益精深的情况下,网络安全越来越受到大家的重视,而HTTPS作为网络安全中比较基础的部分, 绝大部分的客户端都在使用,那么你真的清楚HTTPS的加密原理吗?下面就让我用简单易懂的方式了解下。 首先我们先思考下面几个问题: 1、客户端如何进行签名的? 2、签名验证是在哪,服务端?客户端? 3、如何验证签名? 首先我们说下使用HTTPS的作用,主要...
JSSE编程基本代码
weixin_33989058的博客
08-10 222
 public static void main(String[] args) throws Exception {                 //空实现,接受任意服务端的证书。如果用可信公钥库去构造,采用类同下面的KeyManagerFactory         //的TrustManagerFactory;        TrustManager tm = new X509TrustM...
Java Android SSL 双向认证代码
yuxiaohui78的专栏
12-24 8858
代码下载: https://github.com/yuxiaohui78/androidHttps package com.example.ssl.util; import java.io.FileNotFoundException; import java.io.IOException; import java.io.InputStream; import java.net.Sock
IOS Android Tomcat SSL双向认证HTTPS访问
wangyadong99的专栏
10-14 5129
由于项目要求为了保证服务器数据安全,保证接口不暴露给第三方,要求我们客户端接口全部采用HTTPS的SSL验证请求,花费一个多星期才搞定IOS和Android端和Tomcat服务器间的HTTPS的SSL验证请求,其中不免遇到了许多问题和麻烦,所以写下这篇文章希望对有需要的有所帮助。 一、HTTPS和HTTP的区别 1、https协议需要到ca申请证书,一般免费证书很少,需要交费。 2、
02.Mirth Connect client API 调用
Exception的专栏
01-05 2758
java调用mirth connect client api
论Java加密技术与Windows的结合
键者天行
12-03 6995
  公共钥匙加密技术需要一个空间来存储数字证书和私钥。通过将钥匙和证书存储到一个文件中(称为keystore),Java Security Architecture实现了独立于平台的加密技术。  Microsoft Windows把钥匙和证书存储到Windows注册表和文件系统中。这就是说,在Windows系统上运行安全的Java程序的用户必须在Java和Microsoft的钥匙和证书库之间输
代码签名数字证书(含私钥),数字签名是使用自己的私钥签名,C,C++
09-10
可强制签名已过期数字签名,这是成品exe,若容查杀没毒
跳过Https认证
01-11
Https跳过安全认证SSL,用于android开发,不常用协议连接
ValidateSigningCertificate:验证签名证书以阻止重新打包的示例 Android 代码
07-01
验证签名证书用于验证签名证书以阻止重新打包工具的示例 Android 代码。 改编自 Makan, Keith; 斯科特·亚历山大·鲍恩 (2013-12-23)。 Android 安全手册(第 179 页)。 包出版。 Kindle版。
Java 数字签名、数字证书生成
03-16
摘要:JAVA源码,系统相关,数字签名,数字证书 Java 数字签名、数字证书相关实例。  关于数字签名:产生RSA密钥对(myKeyPair),得到RSA密钥对,产生Signature对象,对用私钥对信息(info)签名,用指定算法产生签名...
基于无证书的可验证加密签名方案
02-23
基于无证书的可验证加密签名方案
名人档案(辛弃疾、李清照)(1).docx
04-23
名人档案(辛弃疾、李清照)(1).docx
._moood UI KitAdobeXD源码下载设计素材UI设计.xd
04-23
._moood UI KitAdobeXD源码下载设计素材UI设计
full_circle_appAdobeXD源码下载设计素材UI设计.xd
04-23
full_circle_appAdobeXD源码下载设计素材UI设计
Gym_Responsive_Landing_PageAdobeXD源码下载设计素材UI设计.xd
最新发布
04-23
Gym_Responsive_Landing_PageAdobeXD源码下载设计素材UI设计
SQL详细介绍资料.zip
04-23
sql,SQL(Structured Query Language,结构化查询语言)是一种标准化的语言,用于在关系数据库管理系统(RDBMS)中存取和操作数据。SQL 使得用户能够访问和操作数据库中的数据,包括数据的查询、插入、更新和删除,以及数据库结构的创建和修改。
证书验证签名证书,c实现
06-02
证书验证签名证书的过程可以用以下步骤来实现: 1. 加载根证书 在程序中加载根证书,一般是以二进制形式存储的,可以使用fread函数读取到内存中。 2. 加载签名证书 同样的,加载签名证书,也是以二进制形式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值