之前的工作中涉及到了linux系统下使用vsftpd向安卓sdk传输文件的功能,server端为linux 系统,client端为安卓系统,该项目针对不同的产品,使用了两款不同的厂商提供的安卓产品,安卓系统也不同,
之后甲方出于数据安全的考虑,要求添加加密传输功能,于是利用vsftpd,中openssl 的相关配置,对vsftpd添加了相关配置如下:
ssl_enable=YES #之前不需要加密该配置项为NO,启用ssl为YES
allow_anon_ssl=NO #匿名用户不用ssl
force_local_data_ssl=YES #强制数据传输加密
force_local_logins_ssl=YES #强制本地用户登录时加密
ssl_tlsv1=YES #启用tlsv1版本
ssl_sslv2=NO #禁用sslv2
ssl_sslv3=NO #禁用sslv3
rsa_cert_file=/***/***/vsftpd/vsftpd.pem #server端证书文件的位置,同时相关证书也同步到了client端
基于之前的不带加密功能的ftp流程是通的,这里就不做过多整理了,可以参考其他资料,上文也说到了两款安卓产品,在添加完上述配置之后进行调试,发现其中一个的ftps流程正常,而另一个则会失败,问题来了,存在差异,差异在哪里呢?
下图是正常的ftps传输流程:
openssl版本对比:
![](https://i-blog.csdnimg.cn/blog_migrate/1c80e58008cba776313a8cd46a35f63a.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/71be7a62dc4d5ec0c1c3114d4d8e1a07.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/591797aa671292ecac2b366d451d5ff5.jpeg)
使用TLS1.2协议,
加密套件Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
与安卓client 端发送的serverhello中使用的加密套件作比对,确实没有发现该套件。问题就在这里,就是通过安卓系统访问server 端时,候选的加密套件中没有server端要求的加密套件TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
而另一款安卓系统的ssl信息中是包含该加密套件的,所以流程是通的,为什么两个安卓系统的加密套件会有如此差异?询问了位懂安卓系统的大能,对于发行的JDK版本,做了很多加密长度限制的裁剪,即只有强度低的加密,所以对于server端要求的加密套件是不支持的。
怎么解决?安卓client端修改JDK?还是自己搞吧,看了下vsftpd的相关配置,发现vsftpd默认的加密套件是可配置的,所以添加ssl_ciphers=LOW 这个配置,继续调试,果然支持了,两个安卓系统的client端都完美支持了加密传输,打完收工。