本地服务器NanoHttpd配置Https双向认证

最新推荐文章于 2024-02-29 12:50:57 发布
最新推荐文章于 2024-02-29 12:50:57 发布
阅读量240 收藏 1
点赞数
分类专栏: http https 文章标签: 服务器 https 运维
原文链接:https://blog.csdn.net/MirkoWug/article/details/128673355
版权
http 同时被 2 个专栏收录
105 篇文章 5 订阅
订阅专栏
https
56 篇文章 1 订阅
订阅专栏

一、 了解数字证书


在HTTPS的传输过程中,有一个非常关键的角色——数字证书,那什么是数字证书?又有什么作用呢?

所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点:

使用数字证书能够提高用户的可信度 数字证书中的公钥,能够与服务端的私钥配对使用,实现数据传输过程中的加密和解密

在证认使用者身份期间,使用者的敏感个人数据并不会被传输至证书持有者的网络系统上 X.509证书包含三个文件:key,csr,crt

key【密钥/私钥 Private Key】是服务器上的私钥文件,用于对发送给客户端数据的加密,以及对从客户端接收到数据的解密
csr【证书认证签名请求 Certificate signing request】是证书签名请求文件,用于提交给证书颁发机构(CA)对证书签名
crt【证书 Certificate】是由证书颁发机构(CA)签名后的证书,或者是开发者自签名的证书,包含证书持有人的信息,持有人的公钥,以及签署者的签名等信息。
备注:在密码学中,X.509是一个标准,规范了公开秘钥认证、证书吊销列表、授权凭证、凭证路径验证算法等。

此外还会涉及到不同平台的相关不同格式证书,这些证书可以在不同格式间相互转换。

cer【俗称数字证书】,目的就是用于存储公钥证书,任何人都可以获取这个文件
pem -【Privacy Enhanced Mail】打开看⽂本格式,以"-----BEGIN…"开头, "-----END…"结尾,内容是BASE64编码。Apache和*NIX服务器偏向于使⽤这种编码格式.
p12 【是PKCS12的缩写】同样是一个存储私钥的证书库,由.jks文件导出的,用户在PC平台安装,用于标示用户的身份
bks 【Android平台支持的证书库格式】由于Android平台不识别.keystore__和.jks**格式的证书库文件,因此Android平台引入一种的证书库格式,BKS。
jks 【数字证书库】。JKS里有KeyEntry和CertEntry,在库里的每个Entry都是靠别名(alias)来识别的。

二、生成数字证书

数字证书的生成需要使用到openssl,这里只是简单介绍一下,详细咨询请自行查阅相关资料

1.安装 openssl

yum install openssl -y

2.常用命令

-req 产生证书签发申请命令
-newkey 生成新私钥 rsa:4096 生成秘钥位数
-nodes 表示私钥不加密
-sha256 使用SHA-2哈希算法
-keyout 将新创建的私钥写入的文件名
-x509 签发X.509格式证书命令。X.509是最通用的一种签名证书格式。
-out 指定要写入的输出文件名
-subj 指定用户信息
-days 有效期(3650表示十年)
-storepass 设置密码
-import 导入证书
-importkeystore 导入已有证书(转换格式)
-export 导出证书
-genkeypair 生成相关证书
-genkey 生成密钥

三、双向认证

1. 单向认证

操作系统或者浏览器一般都内置了一堆相关CA的证书,所以可以直接访问;若是自签发的,浏览器会提示该证书不受信任。适用场景是站点访问,非高机密数据传输。

https一般是单向认证,通常由客户端来校验服务器证书。

2. 双向认证

双向认证,即不仅客户端校验服务器,服务器也校验客户端,通常用于高机密数据传输。

客户端持有服务端的公钥证书,并持有自己的私钥,服务端持有客户的公钥证书,并持有自己私钥。

建立连接的时候,客户端利用服务端的公钥证书来验证服务器是否上是目标服务器;服务端利用客户端的公钥来验证客户端是否是目标客户端。(请参考RSA非对称加密以及HASH校验算法)

服务端给客户端发送数据时,需要将服务端的证书发给客户端验证,验证通过才运行发送数据,同样,客户端请求服务器数据时,也需要将自己的证书发给服务端验证,通过才允许执行请求。
 

四、生成自签名私有证书

1. 单向认证(只需要服务端证书)

1、生成服务端密钥(配置了jdk的环境变量即可用keytool命令)
命令

keytool -genkey -keystore server_ks.jks -storepass server_password -keyalg RSA -keypass server_password

结果:会生成server_ks.jks密钥文件
操作:将生成的server_ks.jks密钥文件配置到服务端

2、生成服务端证书
命令

keytool -export -keystore server_ks.jks -storepass server_password -file server.cer

结果:会生成server.cer证书文件
操作:将生成的server.cer证书文件配置到客户端

2. 双向认证(还需要客户端证书,和信任证书)

1、生成客户端密钥
命令

keytool -genkey -keystore client_ks.jks -storepass client_password -keyalg RSA -keypass client_password

结果:会生成client_ks.jks密钥文件
操作:将生成的client_ks.jks密钥文件配置到客户端

2、生成客户端证书
命令

keytool -export -keystore client_ks.jks -storepass client_password -file client.cer

结果:会生成client.cer证书文件

下面重点:证书交换
将客户端证书导入服务端keystore中,再将服务端证书导入客户端keystore中, 一个keystore可以导入多个证书,生成证书列表。

3、将server端证书添加到serverTrust_ks.jks文件中
命令

keytool -import -keystore serverTrust_ks.jks -storepass client -file server.cer

结果:会生成serverTrust_ks.jks密钥文件
操作:将生成的serverTrust_ks.jks密钥文件配置到客户端

4、将client端证书添加到clientTrust_ks.jks文件中

命令

keytool -import -keystore clientTrust_ks.jks -storepass server -file client.cer

结果:会生成clientTrust_ks.jks密钥文件
操作:将生成的clientTrust_ks.jks密钥文件配置到服务端

有些人可能有疑问,为什么有些博客操作只需要共用一个证书文件,而这里需要生成二个Trust文件?

因为有时客户端可能需要访问多个服务器,而每个服务器的证书都不相同,因此客户端需要制作一个truststore来存储受信任的服务器的证书列表。因此为了规范创建一个truststore.jks用于存储受信任的服务器证书,创建一个client.jks来存储客户端自己的私钥。对于只涉及与一个服务端进行双向认证的应用,将server.cer导入到client.jks中也可。

3、将证书转换为Android平台支持的BKS格式

转换之前需要准备一些工具
格式转换工具下载

1.解压后将bcprov-ext-jdk15on-1.54.jar 放到
window系统:JDK路径/jre/lib/ext
mac系统:/Library/Java/JavaVirtualMachines/jdk1.8.0_341.jdk/Contents/Home/jre/lib/ext 文件夹中

2.修改,上面JDK路径/jre/lib/security 中的 java.security配置
找到如下的配置 再最后一行添加

security.provider.11=org.bouncycastle.jce.provider.BouncyCastleProvider

注意这个 11 是版本 ,根据你电脑实际配置来改,如果原生文件最后一行版本是 n ,下一行就是n+1 ,这里我的最后一行版本是10,所以加的版本就是11。
在这里插入图片描述

服务端信任证书jks转bks

keytool -importkeystore -srckeystore serverTrust_ks.jks -destkeystore serverTrust_ks.bks -srcstoretype JKS -deststoretype BKS -srcstorepass client -deststorepass client -provider org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath bcprov-ext-jdk15on-154.jar


客户端信任证书jks转bks

keytool -importkeystore -srckeystore clientTrust_ks.jks -destkeystore clientTrust_ks.bks -srcstoretype JKS -deststoretype BKS -srcstorepass server -deststorepass server -provider org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath bcprov-ext-jdk15on-154.jar


服务端证书jks转bks

keytool -importkeystore -srckeystore server_ks.jks -destkeystore server_ks.bks -srcstoretype JKS -deststoretype BKS -srcstorepass server_password -deststorepass server_password -provider org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath bcprov-ext-jdk15on-154.jar


客户端证书jks转bks

keytool -importkeystore -srckeystore client_ks.jks -destkeystore client_ks.bks -srcstoretype JKS -deststoretype BKS 

做完这些操作,目录下应该有这些文件
在这里插入图片描述

至此准备工作做完,开始coding

五、Android项目配置

  1. 服务端代码(如果是使用NanoHttpd,可以继承SimpleWebServer进行测试)
public void init() {
	//生成秘钥的manager
      KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X509");
      //加载信任的证书
      TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("X509");
      //加载秘钥
      KeyStore keyStoreKey = KeyStore.getInstance("BKS");
      KeyStore keyStoreTrust = KeyStore.getInstance("BKS");

      //这里要把相关证书文件放到res-raw文件夹下,(放到assets下也行,读取方法不一样)
      InputStream keyStream = AppContext.getApp().getResources().openRawResource(R.raw.server_ks);
      InputStream trustStream = AppContext.getApp().getResources().openRawResource(R.raw.client_trust_ks);
      keyStoreKey.load(keyStream, "server_password".toCharArray());
      keyStoreTrust.load(trustStream, "server".toCharArray());

      //秘钥初始化
      keyManagerFactory.init(keyStoreKey, "server_password".toCharArray());
      trustManagerFactory.init(keyStoreTrust);

      //初始化SSLContext
      SSLContext sslContext = SSLContext.getInstance("TLS");
      sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);
      SSLServerSocketFactory sslServerSocketFactory = sslContext.getServerSocketFactory();

//设置ServerSocketFactory,需重写相关方法
setServerSocketFactory(new MutualAuthSecureServerSocketFactory(sslServerSocketFactory, null));
}

//如果是使用NanoHttpd,需要重写SecureServerSocketFactory,将ss.setNeedClientAuth(false);中的值改为true,这样就开启了服务端校验客户端功能。

 /**
   * Creates a new SSLServerSocket
   */
  public static class MutualAuthSecureServerSocketFactory implements ServerSocketFactory {

    private SSLServerSocketFactory sslServerSocketFactory;

    private String[] sslProtocols;

    public MutualAuthSecureServerSocketFactory(SSLServerSocketFactory sslServerSocketFactory,
        String[] sslProtocols) {
      this.sslServerSocketFactory = sslServerSocketFactory;
      this.sslProtocols = sslProtocols;
    }

    @Override
    public ServerSocket create() throws IOException {
      SSLServerSocket ss = null;
      ss = (SSLServerSocket) this.sslServerSocketFactory.createServerSocket();
      if (this.sslProtocols != null) {
        ss.setEnabledProtocols(this.sslProtocols);
      } else {
        ss.setEnabledProtocols(ss.getSupportedProtocols());
      }
      ss.setUseClientMode(false);
      ss.setWantClientAuth(false);
      ss.setNeedClientAuth(true);
      return ss;
    }
  }

客户端代码
以okhttp为例:

  /**
   * 关联Https请求验证证书
   */
  public static SSLSocketFactory getSSLContext(Context context) {

KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X509");
      //生成信任证书Manager,默认系统会信任CA机构颁发的证书,自定的证书需要手动的加载
      TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("X509");

      KeyStore keyStoreKey = KeyStore.getInstance("BKS");
      KeyStore keyStoreTrust = KeyStore.getInstance("BKS");

     InputStream keyStream= AppContext.getApp().getResources().openRawResource(R.raw.client_ks);
     InputStream trustStream= AppContext.getApp().getResources().openRawResource(R.raw.server_trust_ks);
      //加载client端密钥
      keyStoreKey.load(keyStream, "client_password".toCharArray());
      //信任证书
      keyStoreTrust.load(trustStream, "client".toCharArray());
      keyManagerFactory.init(keyStoreKey, "client_password".toCharArray());
      trustManagerFactory.init(keyStoreTrust);

      SSLContext sslContext = SSLContext.getInstance("TLS");
      sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null/* new SecureRandom()*/);
      SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
            return sslSocketFactory;
    } catch (CertificateException e) {
      e.printStackTrace();
    } catch (KeyStoreException e) {
      e.printStackTrace();
    } catch (NoSuchAlgorithmException e) {
      e.printStackTrace();
    } catch (KeyManagementException e) {
      e.printStackTrace();
    } catch (UnrecoverableKeyException e) {
      e.printStackTrace();
    } catch (IOException e) {
      e.printStackTrace();
    }
    return null;
  }


SSLSocketFactory sslSocketFactory = HttpsUtils.getClientSSLContext(context);
        OkHttpClient okHttpClient = new OkHttpClient.Builder()
                //.connectionSpecs(Collections.singletonList(spec)) //开启全部的tls协议和加密
                .sslSocketFactory(sslSocketFactory, new HttpsUtils.HttpsTrustManager())
                .hostnameVerifier((hostname, session) -> true)//这里可以校验域名
                .build();

        Request request = new Request.Builder().url(url).build();
        okHttpClient.newCall(request).enqueue(new Callback() {
            @Override
            public void onFailure(@NonNull Call call, @NonNull IOException e) {
                Log.e("request", "error:" + e.toString());
                e.printStackTrace();
            }

            @Override
            public void onResponse(@NonNull Call call, @NonNull Response response) throws IOException {
                ResponseBody body = response.body();
                if (response.isSuccessful()) {
                    Log.e("request", "success:${}" + body.string());
                } else {
                    Log.e("request", "error,statusCode=" + response.code() + ",body" + body.string());
                }
            }
        });

完整代码 GitHub - MirkoWu/HttpsSSLAuthDemo

————————————————
版权声明:本文为CSDN博主「MirkoWug」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/MirkoWug/article/details/128673355

锐湃
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用NanoHttpd在Android项目中搭建服务器
07-22
NanoHTTPD是一个免费、轻量级的(只有一个Java文件) HTTP服务器,可以很好地嵌入到Java程序中。支持 GET, POST, PUT, HEAD 和 DELETE 请求,支持文件上传,占用内存很小。
【Android】NanoHttpd学习(一)
kael_wyh的博客
05-17 2897
NanoHttpd教程
NanoHttpd学习(一)
chuyouyinghe的专栏
09-06 294
NanoHttpd只在Android上面运行即可,在其他平台还是Springboot吧现有的安卓上面的web服务端软件还是比较少的,SpringBoot又移植不过去(有人移植成功的话,希望分享下哦),所以暂时可用的就是NanoHttpd和AndServer,两个都试了下,AndServer配置太麻烦了,虽然有类SpringBoot语法,但搞来搞去的,发现这玩意版本好几个,示例和代码还有差别,最终没搞成功,就放弃了,最终选择NanoHttpd。一、NanoHttpd是什么?
使用NanoHttpd在app内搭建https server(二)
chuyouyinghe的专栏
11-15 279
知道了概念后,那自签证书的概念就是我们自己充当这个CA机构给自己颁发一个证书,然后想办法让客户端信任这个证书(一般的默认做法是系统会有一个受信任的证书列表,其中就会有存放一些CA机构的根证书),并且证书里面包含了我们的公钥,客户端使用这个公钥进行数据加密,再传输数据,服务端接收并用私钥解开,从而完成整个加解密的通讯过程。需要注意的是,项目中的raw文件需要你自己生成证书,因为证书是有密码的,我自己证书的密码在代码中用******标记了,所以拿到我的keystore.bks也没用。
使用NanoHttpd在app内搭建http server(一)
chuyouyinghe的专栏
11-15 435
想没想过在自己的Android的 app里内嵌一个http server服务端,这样咱们就可以从PC和手机上的浏览器遥控app了。接下来就使用一个GitHub的开源库Nanohttpd在app内搭建一个小型http的server。上面的IP是我手机流量下的IP地址:如果是连了WiFi的写上WiFi的IP地址也行,端口port自定义就行。依赖库的NanoHTTPD.java,具体对外提供资源访问的代码在重写的serve方法中,这样在android中,一个简单的http server就搭建好了。
如何在Nanohttpd中配置https
最新发布
halong99的专栏
02-29 348
例如,你可能需要处理证书的吊销问题,或者可能需要在服务器上实现一些特定的安全策略。这通常涉及到创建一个新的`SslSocketFactory`,然后将它传递给`NanoHTTPD`的构造函数。首先,你需要准备一个有效的SSL/TLS证书。最后,你需要用`TrustManagerFactory`的`getDefaultAlgorithm()`方法来初始化它。接着,你需要用`keyStore`和密码初始化`KeyManagerFactory`。然后,你需要创建一个`KeyStore`对象,并用你的证书填充它。
详解用Tomcat服务器配置https双向认证过程实战
09-30
本篇文章主要介绍了详解用Tomcat服务器配置https双向认证过程实战,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Tomcat服务器配置https双向认证
12-06
Tomcat服务器配置https双向认证
利用tomcat服务器配置https双向认证
01-03
Tomcat 服务器配置 HTTPS 双向认证 Tomcat 服务器配置 HTTPS 双向认证是指在 Tomcat 服务器配置 SSL/TLS 加密协议,以便在客户端和服务器之间建立安全的连接。本文将指导您如何配置 Tomcat 服务器上的 HTTPS 双向...
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
NanoHTTPD 一个文件实现HTTP服务器
12-16
一个文件实现http服务,对于嵌入到已经有的软件中非常方便
simplewebserver:一个简单的网络服务器,使用 Nanohttpd (https
06-02
简单的网络服务器 一个简单的网络服务器,使用 Nanohttpd ( ),允许用户 查看目录内容 下载文件 上传文件
NanoHTTPD】Android,使用NanoHTTPD搭建服务器,接受Http请求,最佳实践
chuyouyinghe的专栏
09-06 774
NanoHTTPD//声明服务端 端口//TODO 单例模式,获取实例对象,并传入当前机器IP@Override//TODO 解决客户端请求参数携带中文,出现中文乱码问题//获取请求头数据//获取传参参数try {//TODO 写你的业务逻辑.....//响应客户端1、如果想要APP保持服务持久可用,又不被系统限制网络,,可以进入系统设置中设置“电池不优化”。
在Android APP内部实现一个Http Server——NanoHttpd 简单剖析
small_and_smallworld
01-06 5251
前言 最近公司产品(门禁系统)由安卓这边来实现,需要和宇泛人脸识别终端进行对接,对接过程中说白了,也就是在互相的调接口(这也就是项目做完了敢这么说吧),其实刚刚开始接触这块东西的时候还是挺懵圈的,理顺宇泛的文档,发现好多东西(将人员信息上传至宇泛设备、设置是否允许宇泛设备开门、设置宇泛设备的识别回调地址),这些都是通过Http post 方式提交数据就好了吗!刚开始看的时候啊,...
Android中使用NanoHTTPD搭建一个视频服务器,并解决播放视频时无法拖动进度条的问题
qq_46042132的博客
01-03 685
使用 nanohttpd相应一个视频文件
一文详解 NanoHttpd 微型服务器原理
bjxiaxueliang的CODING技术小馆
08-29 1645
`NanoHttpd`仅有一个Java文件的微型Http服务器实现。其方便嵌入式设备(例如:Android设备)中启动一个本地服务器,接收客户端本地部分请求;应用场景也非常广泛,例如:本地代理方式播放m3u8视频、本地代理方式加载一些加密秘钥等。
使用NanoHttpd在Android设备创建https/wss服务端
淡了点
09-18 2779
使用NanoHttpd在Android设备创建https/wss服务端NanoHttpd提供创建轻量级Http服务端,具体介绍文档见项目的地址:https://github.com/NanoHttpd/nanohttpd 如何创建服务端https/wss,在这里不做介绍,详细见文章下面提供的Demo。生成kbs证书 证书分官方颁发的证书和自签名的证书,如果使用自签名证书,在用浏览器访问时会提示网...
服务器配置https协议,三种免费的方法
热门推荐
HashTang的博客
05-30 3万+
最近想搞一个网站玩玩,发布网站用https协议已经是大势所趋了。例如微信小程序,不使用https协议根本不让接入。所以,分享一下我尝试过的三种方法。 1.Linux自签(OPENSSL生成SSL自签证书) 2.阿里云免费证书 3.Let’s Encrypt永久免费SSL证书【墙裂推荐】 一、Linux自签(OPENSSL生成SSL自签证书) 第1步:生成私钥 ...
安卓端简易服务器Nanohttpd使用方法
weixin_34414196的博客
10-06 939
这里我总结一下Nanohttpd的使用吧,因为本人也是初学者,所以只是简单讲讲 //写一个类继承NanoHTTPD类 class A extends NanoHTTPD{ //使用父类的构造方法就够了 public A(int port) { super(port); } ; //重写serve方法,该方法在每次请求时调用 //session相当于请求对象,里面包含获取uri,...
https双向认证c
09-01
HTTPS双向认证是指在HTTPS协议的基础上,除了服务器认证客户端,还要求客户端也对服务器进行认证的一种加密通信方式。 在传统的HTTPS通信中,只有客户端对服务器进行认证服务器返回数字证书给客户端进行验证。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值