原创文章,转载请注明来源
上一篇文章http://anjxue.iteye.com/blog/1140275
讲解了Android怎么与tomcat建立基于ssl的https连接。
但在我们的生产环境中,为了数据安全,手机终端不能直接连tomcat,中间需要一台中转机,这台中转机(或叫前置机)只做数据转发的作用,不参与逻辑处理。
我们采用Apache Http Server来做中转机,需要下载带openssl的那个版本。
这里就碰到问题了,前面我们做Android与Tomcat的证书时,使用的keytool命令行,但是Apache服务器需要的证书格式要通过openssl来做,这就涉及到格式的转换问题。
我们先实现apache的https服务的配置,然后再说证书格式怎么转换。
新建工作目录apache,切换到该目录。先使用openssl命令生成5个文件:
1 openssl genrsa -out server.key 1024
解释:服务器私钥,大概也许未必是。
2 openssl req -new -out server.csr -key server.key -config openssl.cnf
解释:用server.key生成一个server.csr这里面需要一个配置文件openssl.cnf,我们从apache服务器conf目录下找到它,拷到我们的工作目录里。
这里也要输入各种信息,Country Name输入cn,Common Name输入服务器IP,其他随便。
3 openssl genrsa -out ca.key 1024
解释:生成ca密钥
4 openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
解释:生成ca.crt,这里输入的内容要跟第二步一样!否则会报错。
5 openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
解释:输入为server.csr,ca.key,ca.crt,输出:server.crt
这里会报错的,我们需要在工作目录下新建个目录:demoCA
里面建三个东东:1 空文件夹newcerts 2 空白文档index.txt 3 文件serial,没扩展名,里面内容为01。建好几个文件后重新执行第5步。
到这里apache的证书就生成完毕了,接下来修改apache的配置以支持https,另外一并配置好地址转发。
1 打开apache的conf目录下的httpd.conf
把几个模块前的井号去掉以启用。具体包括:
mod_proxy.so
mod_proxy_http.so 这两个是为了转发用的
mod_ssl.so 以支持https
另外把这句前的注释去掉:
Include conf/extra/httpd-ssl.conf
在文件的最下方加入如下代码片段:
SSLProxyEngine on
ProxyRequests Off
ProxyPass /SSLTestServer/ https://10.1.252.194:8443/SSLTestServer/
ProxyPassReverse /SSLTestServer/ https://10.1.252.194:8443/SSLTestServer/
这里指定了转发规则:将请求本机的SSLTestServer相应地址转发到194主机上。194主机即第一篇中我们配置的tomcat。而本机为33
2 继续修改 apache的conf/extra下的httpd-ssl.conf
这里面监听端口我改成了8443:Listen 8443
找到这段:
#SSLCertificateFile "E:/dev/Apache2.2/conf/server.crt"
把井号去掉,把地址改为我们刚才生成的crt地址,如
SSLCertificateFile "D:/cer/apache/server.crt"
再找到这段:
#SSLCertificateKeyFile "E:/dev/Apache2.2/conf/server.key"
改成
SSLCertificateKeyFile "D:/cer/apache/server.key"
这两个文件是我们上述5个文件中的两个。
到此好像也许差不多就可以启动apache了。
启动后测试转发功能正常。
我们打开IE输入https://本机地址:8443/SSLTestServer/×××
会转发到https://10.1.252.194:8443/SSLTestServer/×××
这里有个疑惑的地方,两台主机都是https的,我们的浏览器要用哪个的证书呢?
我初步测试是使用apache的证书,同样导入受信任的根里面去,就能看到锁了。
但这样也许本机与194之间是不加密的,待后续验证。
最后一步:android程序
遍观这5个文件,跟第一篇里的3个文件比较,发现这里是使用openssl生成的,前面是keytool生成的,格式不同。
没有一个keystore文件给android用,怎么办呢?
最后两步如下:
1 openssl x509 -in server.crt -out server.cer
解释:crt转cer
2 keytool -import -alias serverkey -file server.cer -keystore server_trust.keystore -storepass 123456 -storetype BKS -providername "BC"
解释:生成android识别的bks格式密钥
把这个server_trust.keystore放到android的raw里,代码跟前一篇相同,大功告成。
遗留问题:
1 双向验证
2 中转机与目的机间的数据加密。
有空再搞。
上一篇文章http://anjxue.iteye.com/blog/1140275
讲解了Android怎么与tomcat建立基于ssl的https连接。
但在我们的生产环境中,为了数据安全,手机终端不能直接连tomcat,中间需要一台中转机,这台中转机(或叫前置机)只做数据转发的作用,不参与逻辑处理。
我们采用Apache Http Server来做中转机,需要下载带openssl的那个版本。
这里就碰到问题了,前面我们做Android与Tomcat的证书时,使用的keytool命令行,但是Apache服务器需要的证书格式要通过openssl来做,这就涉及到格式的转换问题。
我们先实现apache的https服务的配置,然后再说证书格式怎么转换。
新建工作目录apache,切换到该目录。先使用openssl命令生成5个文件:
1 openssl genrsa -out server.key 1024
解释:服务器私钥,大概也许未必是。
2 openssl req -new -out server.csr -key server.key -config openssl.cnf
解释:用server.key生成一个server.csr这里面需要一个配置文件openssl.cnf,我们从apache服务器conf目录下找到它,拷到我们的工作目录里。
这里也要输入各种信息,Country Name输入cn,Common Name输入服务器IP,其他随便。
3 openssl genrsa -out ca.key 1024
解释:生成ca密钥
4 openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
解释:生成ca.crt,这里输入的内容要跟第二步一样!否则会报错。
5 openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
解释:输入为server.csr,ca.key,ca.crt,输出:server.crt
这里会报错的,我们需要在工作目录下新建个目录:demoCA
里面建三个东东:1 空文件夹newcerts 2 空白文档index.txt 3 文件serial,没扩展名,里面内容为01。建好几个文件后重新执行第5步。
到这里apache的证书就生成完毕了,接下来修改apache的配置以支持https,另外一并配置好地址转发。
1 打开apache的conf目录下的httpd.conf
把几个模块前的井号去掉以启用。具体包括:
mod_proxy.so
mod_proxy_http.so 这两个是为了转发用的
mod_ssl.so 以支持https
另外把这句前的注释去掉:
Include conf/extra/httpd-ssl.conf
在文件的最下方加入如下代码片段:
SSLProxyEngine on
ProxyRequests Off
ProxyPass /SSLTestServer/ https://10.1.252.194:8443/SSLTestServer/
ProxyPassReverse /SSLTestServer/ https://10.1.252.194:8443/SSLTestServer/
这里指定了转发规则:将请求本机的SSLTestServer相应地址转发到194主机上。194主机即第一篇中我们配置的tomcat。而本机为33
2 继续修改 apache的conf/extra下的httpd-ssl.conf
这里面监听端口我改成了8443:Listen 8443
找到这段:
#SSLCertificateFile "E:/dev/Apache2.2/conf/server.crt"
把井号去掉,把地址改为我们刚才生成的crt地址,如
SSLCertificateFile "D:/cer/apache/server.crt"
再找到这段:
#SSLCertificateKeyFile "E:/dev/Apache2.2/conf/server.key"
改成
SSLCertificateKeyFile "D:/cer/apache/server.key"
这两个文件是我们上述5个文件中的两个。
到此好像也许差不多就可以启动apache了。
启动后测试转发功能正常。
我们打开IE输入https://本机地址:8443/SSLTestServer/×××
会转发到https://10.1.252.194:8443/SSLTestServer/×××
这里有个疑惑的地方,两台主机都是https的,我们的浏览器要用哪个的证书呢?
我初步测试是使用apache的证书,同样导入受信任的根里面去,就能看到锁了。
但这样也许本机与194之间是不加密的,待后续验证。
最后一步:android程序
遍观这5个文件,跟第一篇里的3个文件比较,发现这里是使用openssl生成的,前面是keytool生成的,格式不同。
没有一个keystore文件给android用,怎么办呢?
最后两步如下:
1 openssl x509 -in server.crt -out server.cer
解释:crt转cer
2 keytool -import -alias serverkey -file server.cer -keystore server_trust.keystore -storepass 123456 -storetype BKS -providername "BC"
解释:生成android识别的bks格式密钥
把这个server_trust.keystore放到android的raw里,代码跟前一篇相同,大功告成。
遗留问题:
1 双向验证
2 中转机与目的机间的数据加密。
有空再搞。