客户端认证自签名HTTPS证书

最新推荐文章于 2024-05-18 13:56:01 发布
最新推荐文章于 2024-05-18 13:56:01 发布
阅读量4.1k 收藏
点赞数
分类专栏: Android 计算机网络 文章标签: ssl Android HTTPS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BatmanBruceWayne/article/details/50317043
版权

  在最近的项目中,与某服务器连接的请求采用的是https协议,但是该服务器的证书又不是经过权威机构认证的证书,因此采用普通的方式直接连接是不行。本文给出解决方案。
  HTTPS是HTTP之下、TCP之上的安全密码层,可以使用SSL或TSL,本文用SSL来描述SSL或TSL。大部分困难的编码和解码工作都在SSL中完成了,客户端和服务器端在使用HTTPS进行通信的时候不需要实现复杂的加解密算法之类的。SSL使用证书来创建安全连接,一般有两种验证方式。第一种是客户端认证服务器端的提供的证书,一般的HTTPS网站都采用这种方式。第二种是客户端和服务器端都要认证对方的证书,一般是APP应用和它的服务器可能会采用这样的方式。本文说的就是第一种情况,并且当该服务器的证书不是权威机构认证的证书(一般是为了省钱。。。因为权威机构认证的证书可不便宜。。。)。
  以Android客户端为例,在目前最新的SDK 23中,已经完全移除了HttpClient,所有的网络请求均要采用HttpUrlConnection来实现。那么对于这种自签名的证书,HttpUrlConnection其实只需要多设置一个属性就可以了,其实就是setSSLSocketFactory()方法就可以了。SSLSocketFactory这个类在我的理解就是这一次HTTPS连接SSL层的抽象,并且这个类是通过SSLContext的getSocketFactory()来得到。那么问题就变成了如何去构造SSLContext就可以了。
  SSLContext只需要通过以下代码就可以实例化。

SSLContext sslContext = SSLContext.getInstance("SSL");
ssl.init(null, null, null);

  注意到init方法的第二个参数传递是TrustManager的数组。那么问题就在于如何使用服务器提供的证书去生成TrustManager数组了。直接上代码,在Android里,将证书放到asset目录中,通过AssetManager读取它。

    public static TrustManager[] getTrustManagers(Context cxt) {
        InputStream caInput = null;
        try {
            caInput = new BufferedInputStream(
                    cxt.getResources().getAssets().open("srca.cer"));
            CertificateFactory cf = CertificateFactory.getInstance("X.509");
            Certificate ca = cf.generateCertificate(caInput);

            String keyStoreType = KeyStore.getDefaultType();
            KeyStore keyStore = KeyStore.getInstance(keyStoreType);
            keyStore.load(null, null);
            keyStore.setCertificateEntry("ca", ca);

            String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
            TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
            tmf.init(keyStore);

            return tmf.getTrustManagers();
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (caInput != null) caInput.close();
        }
        return getTrustAnyManager();
    }

    public static TrustManager[] getTrustAnyManager() {
        TrustManager tm = new X509TrustManager() {
            public void checkClientTrusted(X509Certificate[] chain, String authType)
                    throws CertificateException {
            }

            public void checkServerTrusted(X509Certificate[] chain, String authType)
                    throws CertificateException {
            }

            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };
        return new TrustManager[]{tm};
    }

  以上就是具体的代码实现。第二个getTrustAnyManager方法提供的是一个信任任意证书的TrustManager数组,会有安全性问题。只有当第一个方法发生异常的时候才调用第二个方法。
  经过以上方法,就可以获得一个SSLContext,只需要判断如果connection对象是HttpsUrlConnect的话,调用connection.setSocketFactory(sslContext.getSocketFactory()) 就可以了.

BatmanBruceWayne
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C语言https客户端双向认证
09-04
这些命令分别生成了私钥(client.key)、证书请求(client.csr)和自签名证书(client.crt)。如果需要服务端验证,需要将`client.crt`发送给服务端,服务端也会有类似的证书和私钥。 然后,在C代码中,你需要...
使用HttpsURLConnection或httpclient访问https签名(无效)证书
牟云飞的博客
03-06 2258
import java.io.BufferedInputStream; import java.io.ByteArrayOutputStream; import java.io.IOException; import java.io.InputStream; import java.net.URL; import java.security.KeyManagementException; im...
openssl签名ca证书,以及签发服务端/客户端证书
bglmmz的专栏
10-26 2681
网上由很多,但是感觉操作比较复杂,有些签发的证书不可用。现在介绍简单方法。假设已经安装了openssl,已有sudo权限。已经建立路径:/ope/ca,所有操作都在此路径下进行。 1. 准备工作,由于我们签发的证书,不一定用于有域名的情况,而且服务端可能部署于任何Ip地址,所以,要准备一个证书的扩展配置,文件命为:server-ext.cnf,用echo命令直接生成此文件,命令行: echo "subjectAltName=DNS:*.demo.com,IP:0.0.0.0" > server-
客户端验证 证书解析
最新发布
m0_66993332的博客
05-18 925
关于数字证书和CA机构的一些介绍和个人理解
android ssl http,Android SSL HTTP请求使用自签名证书和CA
weixin_33110093的博客
05-27 263
可以完成的任务,也使用DefaultHttpClient,即使here is suggested到:身高HttpURLConnection的新代码讲究也进口或添加证书到您的应用程序,因为你可能有在证书过期时更新证书存在问题。这里如何获得DefaultHttpClient信任自签名证书:* This method returns the appropriate HttpClient.* @param...
OpenSSL生成自签名证书及使用
@tangguo123 博客
07-10 2654
openssl 生成自签名证书及使用
本地测试使用自签名证书以开启网站https(例子说明:Nginx、Tomcat)
MysticalDream的博客
05-16 8365
数字证书是由证书颁发机构(CA)签名并颁发的电子文件,用于建立网络连接的身份认证和加密通信。SSL 证书是数字证书的一种。
java根证书认证实现https访问
01-04
当使用自签名证书或私有CA签发的证书时,Java默认不会信任这些证书,因此需要进行额外的配置。 以下是一步步实现Java根证书认证的过程: 1. **创建根证书**:使用OpenSSL等工具生成自签名证书。这涉及到生成私钥...
iOS 基于AFNetworking下自签名证书配置的方法
08-27
总之,通过深入研究自签名证书的配置,不仅可以增强对HTTPS安全性的理解,而且还能提高对AFNetworking框架中安全策略部分的掌握。在实际开发中,正确配置和使用自签名证书能确保应用程序在非正式环境中安全地发送和...
https.3.客户端认证1
08-03
为了使客户端认证工作,你需要创建自签名的CA证书、服务器证书客户端证书。这可以通过`openssl`工具完成: 1. 创建CA私钥和根证书: ```bash openssl genrsa -out ca.key 2048 openssl req -new -x509 -days ...
客户端快速安装自签名证书工具
06-01
在企业和机构内部,为了安全资源的安全考虑,往往会对Web服务进行安全加密,其中的一种方式就是采用https,而https需要和证书进行绑定。要去购买一个CA证书,每年还要去续费,这个对小部门来说不划算,所以很多情况下采用的是自签名证书。而自签名证书带来的问题是,每次访问资源时浏览器都会发布警告的问题,除非是在客户端安装了证书。但是对于小白用户来说,手动安装自签名证书往往操作过于复杂,能不能有一个工具,只需要点击一下就可以把自签名证书安装在客户端。没错,在客户端快速安装自签名证书工具就是为了解决这个问题,你还等什么,赶紧下载下来使用吧,希望能够帮到你。
签名免费(SSL)私有证书
haodayizhizhuzhu的博客
02-16 4937
内容导航1,生成加密自签名SSL证书1,使用openssl工具生成一个RSA私钥2,删除密码,重命名文件,导出key内容3,生成CSR(证书签名请求)4,生成自签名crt证书1,下载证书到本地2,win + r 打开mmc进入控制台1EDN:内容参考1,背景描述:2,解决方法:EDN:内容参考。
签名证书与加/解密
weixin_43460239的博客
06-21 1685
签名证书是指使用自己的证书颁发机构(Certificate Authority,CA)来生成和颁发证书,而不是依赖于公共的第三方CA。与使用受信任的第三方CA不同,自签名证书的信任链由自己管理,因此在信任方面可能存在一些挑战。创建自签名证书颁发机构(CA):首先,您需要创建自己的证书颁发机构,也就是私有CA。这个CA将负责颁发和管理您自己的证书。您可以使用工具(如OpenSSL)生成自己的CA证书和私钥
SSL签名证书
全栈攻城狮JSON的博客
11-25 7028
一、概念 1.1、TLS 传输层安全协议 Transport Layer Security 作为SSL协议的继承者,成为下一代网络安全性和数据完整性安全协议 1.2、SSL 安全套接字层 Secure Socket Layer 位于TCP/IP中的网络传输层,作为网络通讯提供安全以及数据完整性的一种安全协议 1.3、HTTPS HTTP+SSL(secure socket layer)/TLS(Transport Layer Security)协议,HTTPS协议为数字证书提供了最佳的应用环境 1.4、Op
如何利用中继证书(凭证)建立客户端证书
一只青木呀
08-25 552
利用中继证书(凭证)建立客户端证书建立客户端证书的前提是要建立中继证书建立客户端证书的具体步骤1、建立一个目录,存放所有客户端证书有关的资料2、填写Open SSL的配置文件3、在客户端凭证目录产生凭证的私钥4、在服务器凭证目录产生服务器凭证的凭证签发申请档5、使用中继凭证去签发客户端凭证的凭证签发申请档, 产生客户端的凭证6、检查签发的中继凭证是否无误.7、确认服务器凭证的完整性, 需要做完整的串链检查, 需要使用含有根凭证的凭证串链.8、产生服务器凭证的凭证串链.9、客户端证书建立完成 建立客户端证书
HTTPS验证流程
weixin_45794641的博客
04-12 2535
HTTPS验证流程 1.HTTPS简介 ​ 由于HTTP在网络中是明文传输的,所以数据在传输过程中很容易被截取,这时就会有一些加密算法及方式出来,比如对称加密、非对称加密等方式,在HTTPS中加密其实是在TCP和HTTP之间加了一层SSL/TLS协议用于加密。 2.对称加密 2.1 对称加密的工作流程 ​ 对称加密其实就是发送方和接收方都拥有一把相同的密钥,发送方在发送之前会对数据通过密钥进行加密,然后传输到接收方,接收方会通过密钥进行解密获取数据。 ​ 在浏览器和服务器之间交互也是这样的,服务端拥有这把
使用自签证书利用浏览器进行HTTPS接口的安全访问
卡卡尔的专栏
02-08 7251
HTTPS的基本工作原理想必对于许多开发者来说是非常熟悉的了,还不是太熟悉的同学一起先看一下HTTP常见的八股文中的描述以及如何让浏览器信任我们的自签证书,实现https安全连接
pc软件签名:数字证书的使用
学习是修养的提升
09-03 1265
使用步骤 签名软件下载 1:插入U盘样式的 证书 2:开启: SafeNet Authentication Client 客服端 (必要的条件) 3:操作 数字签名工具专业版 …步骤如下: A:打开界面 --> 证书管理;; 在证书管理里面 观察签名证书的名字(可以拔出在插入观察是否多了一个 代码签名证书 如:成都甘德签名证书) B:–> 签名规则 (实现 添加规则) 在签名规则...
签名证书.crt格式,给android客户端公钥后,怎么使用https请求接口
02-07
如果您想使用 HTTPS 请求接口,您需要将自签名证书的 .crt 文件安装到 Android 客户端的信任证书存储中。这样,Android 客户端就会信任这个自签名证书,并允许使用 HTTPS 协议连接到相应的服务器。 下面是一些步骤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值