Android+OkHttp3+Golang(Gin)+OpenSSL单双向校验(一)

最新推荐文章于 2023-10-30 22:11:11 发布
最新推荐文章于 2023-10-30 22:11:11 发布
阅读量450 收藏 1
点赞数
分类专栏: 数据安全系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ALakers/article/details/108322741
版权

OpenSSL生成证书

第一步生成根证书

# Generate CA private key 
openssl genrsa -out ca.key 2048 
# Generate CSR 
openssl req -new -key ca.key -out ca.csr
# Generate Self Signed certificate(CA 根证书)
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

第二步生成服务端证书:
-subj也可以没有,但是中间要求根据提示输入:国家、省份、组织名、邮箱、等信息。
-subj中 /CN 需要填域名,xxx.com/cn啥的,没有域名的可以自己改hosts文件,(win)system32/drivers/etc (linux) /etc/hosts,搜索一下就有了,另外本次用的是自签证书,有被信任的证书没有尝试过。

# server.key 为私钥
openssl genrsa -out server.key 2048
#这里的/cn是必须添加的 是服务端的域名或者是etc/hosts中的ip别名 也可以是使用*
openssl req -new -key server.key -subj "/CN=bgi_bc" -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650

第三步生成客户端证书:

opensslgenrsa -out client.key 2048
# /cn是服务端的域名 或者是etc/hosts中的ip别名 也可以是使用*
openssl req -new -key client.key -subj "/CN=*" -out client.csr
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial  -out client.crt -days 3650

总结: 生成CA私钥(.key)–>生成CA证书请求(.csr)–>自签名得到根证书(.crt)(CA给自已颁发的证书)客户端/服务端其实都一样,只不过是ca签发的次级证书

证书格式

证书标准:
X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准.

编码格式:
同样的X.509证书,可能有不同的编码格式,目前有以下两种编码格式.

  1. PEM: Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…“开头,”-----END…"结尾,内容是BASE64编码. 查看PEM格式证书的信息:

    openssl x509 -in certificate.pem -text -noout

    Apache和*NIX服务器偏向于使用这种编码格式。

  2. DER: Distinguished Encoding Rules,打开看是二进制格式,不可读.查看DER格式证书的信息:

    openssl x509 -in certificate.der -inform der -text -noout

    Java和Windows服务器偏向于使用这种编码格式.

相关的文件扩展名:
这是比较误导人的地方,虽然我们已经知道有PEM和DER这两种编码格式,但文件扩展名并不一定就叫"PEM"或者"DER",常见的扩展名除了PEM和DER还有以下这些,它们除了编码格式可能不同之外,内容也有差别,但大多数都能相互转换编码格式.

  1. CRT: CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码,相信你已经知道怎么辨别.

  2. CER: 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.

  3. KEY: 通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.
    查看KEY的办法:openssl rsa -in mykey.key -text -noout
    如果是DER格式的话,同理应该这样了:

    openssl rsa -in mykey.key -text -noout -inform der

  4. CSR: Certificate Signing
    Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好。

  5. PFX/P12: predecessor of PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全?应该不会,PFX通常会有一个"提取密码",你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码?

    openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes

    这个时候会提示你输入提取代码. for-iis.pem就是可读的文本. 生成pfx的命令类似这样:

    openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crt

    其中CACert.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去.这么看来,PFX其实是个证书密钥库.

  6. JKS: 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫"keytool"的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS

  7. BKS: Android特有的格式,就是这么豪横

Time-Traveler
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
golang实现openssl自签名双向认证
赴前尘
03-03 792
golang实现openssl自签名双向认证
Android+OkHttp3+Golang(Gin)+OpenSSL双向校验(二)
ALakers的博客
09-01 508
Golang gin 搭建https服务 我把证书放在了F:\test\目录下 package main import ( "github.com/gin-gonic/gin" "github.com/unrolled/secure" ) func TlsHandler() gin.HandlerFunc { return func(c *gin.Context) { secureMiddleware := secure.New(secure.Options{ SSLRedirect
Android+OkHttp3+Golang(Gin)+OpenSSL双向校验(三)
ALakers的博客
09-03 285
Android 校验
OkHttpGo案例
06-19
博文: OkHttpGo
golang https的向认证,双向认证
最新发布
赵凯月的博客
10-30 522
【代码】golang https的向认证,双向认证。
Android+OkHttp3+Golang(Gin)+OpenSSL双向校验(四)
ALakers的博客
09-03 418
Golang双向校验 服务端 服务端需要校验客户端的证书,代码如下: package main import ( "crypto/tls" "crypto/x509" "github.com/gin-gonic/gin" "github.com/unrolled/secure" "io/ioutil" ) func TlsHandler() gin.HandlerFunc { return func(c *gin.Context) { secureMiddleware := secu
androidgolang的http请求
07-27 241
见 Guishi_shoper 的RegisterActivity短信验证调试 手机与电脑后台需在同一局域网 必须在同一个局域网private 注册所有控件private static final String TAG = "RegisterActivity";   //调试logcat 的info模式输入 RegisterActivity 以便注册调试简思路:安卓http给后台发请求...
RxHttp:对RxJava2+Retrofit2+OkHttp3的封装
05-28
RxHttp对RxJava2+Retrofit2+OkHttp3的封装,优雅实现接口请求和文件下载功能简介网络请求(RxRequest)支持监听请求声明周期,如开始结束和网络错误支持多BaseUrl,可针对不同请求重定向支持针对不同请求设置不同...
Android】RxJava2+Retrofit2+OkHttp3的基础、封装和项目中的使用
11-29
Android开发中,Retrofit2、RxJava2和OkHttp3是三个非常重要的库,它们共同构建了一个高效、灵活的网络请求框架。本篇文章将深入探讨这三个组件的基础知识,以及如何进行封装和在实际项目中使用。 首先,Retrofit...
android登录UI+OKhttp3
07-17
本项目“android登录UI+OKhttp3”聚焦于这两点,旨在创建一个完整的登录界面,并利用OKHttp3库来处理网络请求,同时引入了EventBus框架进行事件通信。下面将详细介绍这些知识点。 首先,登录界面UI(User Interface...
openssl-1.1.1g-win64-mingw.zip
12-05
windows64 openssl 解压后,无需安装,直接配置环境变量,立即可用。openssl version 命令验证
Android整合搭建RxJava+Retrofit+LiveData+OkHttp框架实现MVVM模式开发
01-14
工程目录说明: base:基础类库。 exception:异常类模块。 ... ...model:数据模型,实体类定义。...repository:数据仓库,包括网络接口请求数据,sqlite数据库,文件File存储,SharedPreferences数据存储。...
Android 基于 Retrofit2+Okhttp3 通过SOAP协议请求WebService
01-20
本教程将重点讲解如何利用Retrofit2和OkHttp3这两个强大的库来实现Android应用通过SOAP协议请求Web Service。 Retrofit是由Square公司开发的一款Type-Safe HTTP客户端,它允许开发者用Java注解来描述HTTP请求,使得...
Android okhttp3 SSL握手底层实现追踪
@毛宏斌
11-17 5250
对于https,在tcp三次握手后就会进行ssl的握手,ssl握手的详细过程网上介绍的很多。下面跟踪下okhttp3对于ssl握手的实现过程。需求决定android版本4.4.4,所以还是opensslokhttp3.2.0。 openssl代码:https://android.googlesource.com/platform/external/openssl.git okhttp3代码:h
OkHttp完全解析(五)HTTPS
OyangYujun的专栏
11-25 6799
OkHttp试图平衡连个相互竞争的问题:    尽可能多的主机连接: 包括运行最新版boringssl的高级主机和运行老版OpenSSL的陈旧主机。    连接的安全性: 通过证书进行远程web服务器验证和通过强加密保证数据交换的私密性。 当与一个HTTPS服务器进行协商时, OkHttp需要知道应当提供哪个版本的TLS和加密路线。一个想要使连接最大化的客户端可能包含陈旧的TLS版本,以及设
android okhttpclient 证书锁定
zhifanxu的专栏
04-06 777
我们需要将APP代码内置仅接受指定域名的证书,而不接受操作系统或浏览器内置的CA根证书对应的任何证书,通过这种授权方式,保障了APP与服务端通信的唯一性和安全性,因此我们移动端APP与服务端(例如API网关)之间的通信是可以保证绝对安全。公钥锁定则是提取证书中的公钥并内置到移动端APP中,通过与服务器对比公钥值来验证连接的合法性,我们在制作证书密钥时,公钥在证书的续期前后都可以保持不变(即密钥对不变),所以可以避免证书有效期问题。
Android实现https双向认证/向认证 okhttp+Retrofit+https
u011511057的专栏
01-03 3147
Android实现https双向认证/向认证 okhttp+Retrofit+https 随着android版本的提升,和各个应用对通信安全的要求,https成为我们不得不去面对的问题 在开始本篇之前,首先最好是看下https通信原理,送上大神连接https://www.jianshu.com/p/07b055544123 看图说话,图片(取自上面链接中) 如果你已经看过https通信原理,应...
Android OkHttp进行向证书校验双向的需要服务端也配置证书)
蓝色的天空的博客
05-31 2784
1.获取跟域名的证书文件 例如接口服务域名是 https://www.baidu.com/ 按照以下步骤导出证书信息,选择base64格式的.cer文件,用文本编辑器打开,复制证书信息 2.编写代码配置 // 证书信息进行缩减 private String CER_BAIDU = "xxxxxxxxxx"; //设置安全证书 public void setSafeOkHttpClient(OkHttpClient.Builder okhttpBuilder) { try {
Chrome之Login Data
ALakers的博客
08-25 7272
Chrome最基本的私密数据 登录记住用户名密码 登录后保存的Cookie信息 chrome浏览器的数据应该都是在:C:\Users\XXXX\AppData\Local\Google\Chrome\User Data\Default下的,里面有很多数据,最基本的就是Login Data和Cookies文件,保存了一些敏感信息(sqllite),用db工具打开就能查看,cookie文件没有加密,login data中的密码加密了,不过也可以解析 Login Data密码解析 Chromium是开源的,其
帮忙用Java写一份Android retrofit+okhttp+rxjava代码
04-26
好的,以下是Java写Android retrofit okhttp rxjava代码的示例: 首先,在build.gradle文件中添加以下依赖: ``` implementation 'com.squareup.retrofit2:retrofit:2.9.0' implementation '...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值