Android 实现SLL Socket 双向认证(原有格式为PEM(私钥.key和证书.pem))

最新推荐文章于 2024-07-20 16:07:33 发布
最新推荐文章于 2024-07-20 16:07:33 发布
阅读量2.7k 收藏 2
点赞数 1
分类专栏: AndroidStudio 文章标签: tls ssl ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tnbaiyunf/article/details/104380742
版权

为了实现TLS socket 消息认证。
Server需要:
1KeyStore: 其中保存服务端的私钥
2Trust KeyStore:其中保存客户端的授权证书
同样,Client需要:
1KeyStore:其中保存客户端的私钥
2Trust KeyStore:其中保存服务端的授权证书

 

但是Android 确实只能识别BKS 格式的证书,如果为其他格式的证书需要转换,

其中用到的转换工具为Portecle(免费):

官方下载地址为:https://sourceforge.net/projects/portecle/

百度网盘下载地址:链接: https://pan.baidu.com/s/1r4viK9X6wvnqYXrOzaVhZQ 提取码: kahh

一、证书格式转换

1.Portecle的使用步骤如下:

  1. 打开Portecle工具后,选择的File- - >New Keystore- - > BKS 的。
  2. 创建好bks格式的Keystore文件后,点击 Tools- - > Import Key Pair 即可导入密钥对,先选择好.pem文件,随后会提示选择 .key文件
  3. 配置好密码,或者不设置也行,
  4. 导出该创建的文件,以.bks结尾的文件

      如果在步骤2中无法完成导入.pem证书文件 和选取.key私钥文件,那就需要将.pem证书文件 和.key私钥文件合并要一个密钥库中,如jks或pkcs12(.pfx文件)中。

2.将PEM格式转为jks或pfx

方式一:通过openssl和keytool转换

    openssl可以到官网下载,openssl暂时没有windows版,大伙可以在此处下载Win32OpenSSLwindows版本
    下载完记得配置环境变量,同时也记得配置jdk的环境变量,因为后面需要用到keytool命令
    现在假设你拿到了客户端证书client.crt和client.key(或者client.pem和client.key)
    通过以下命令生成pfx文件,期间会让输入密码,输入你想要的密码即可,假如这里输入的是123456

    openssl pkcs12 -export -out client.pfx -inkey client.key -in client.pem
    或者
    openssl pkcs12 -export -out client.pfx -inkey client.key -in client.crt

    执行成功则可以看到client.pfx文件,

   如果需要得到jks格式的证书可以接着再执行如下命令

    keytool -importkeystore -srckeystore client.pfx -destkeystore client.jks -srcstoretype PKCS12 -deststoretype JKS

    执行成功即可看到生成了client.jks,拿到生成的jks就可以通过Portecle工具转换成bks了。

  注:Openssl 使用操作可以参考:https://blog.csdn.net/liao20081228/article/details/77159039

方式二:在线转换

你可以到这里进行格式转换:https://myssl.com/cert_convert.html,在线转换真的超方便。

二、双向认证(客户端实现)

       添加了SSLHelper.java工具类用来生成SSLSocketFactory对象

package com.yf.ssl.client;

import android.content.Context;
import android.content.res.AssetManager;
import android.util.Log;

import java.io.IOException;
import java.io.InputStream;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;

import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManagerFactory;

/**
 * @description: <功能简述>
 * @Author: YunFeng
 * @CreateTime: 2020-2-13
 */
public class SSLHelper {

    private static final String TAG = "SSLHelper";
    private final static String CLIENT_PRI_KEY = "client_bks.bks";
    private final static String TRUSTSTORE_PUB_KEY = "service_bks.bks";
    private final static String CLIENT_BKS_PASSWORD = "123456";
    private final static String TRUSTSTORE_BKS_PASSWORD = "123456";
    private final static String KEYSTORE_TYPE = "BKS";
    private final static String PROTOCOL_TYPE = "TLS";
    private final static String CERTIFICATE_STANDARD = "X.509";
    private static AssetManager mAssetManager = null;

    public static SSLSocketFactory getSSLCertifcation(Context context) {
        if(context == null){
            Log.w(TAG, "getSSLCertifcation () context is null");
            return null;
        }
        if (mAssetManager == null) {
            mAssetManager = context.getAssets();
        }
        Log.d(TAG, "getSSLCertifcation () ");
        try {
            SSLContext sslContext = SSLContext.getInstance(PROTOCOL_TYPE);

            KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
            KeyStore keyClient = KeyStore.getInstance(KEYSTORE_TYPE);
            InputStream in_client_bks = mAssetManager.open(CLIENT_PRI_KEY);
            keyClient.load(in_client_bks, null);//该证书未设置密码 以下类似
            try {
                keyManagerFactory.init(keyClient, null);
            } catch (UnrecoverableKeyException e) {
                Log.e(TAG, "getSSLCertifcation() UnrecoverableKeyException:" + e.toString());
            }


            KeyStore tClient = KeyStore.getInstance(KEYSTORE_TYPE);
            InputStream trustClient = mAssetManager.open(TRUSTSTORE_PUB_KEY);
            tClient.load(trustClient, null);

//            另一种加载方式,不需要是bks的格式,但是仅仅可以加载trust
//            InputStream trustIn = mAssetManager.open("service_cert.pem");
//            CertificateFactory cf = CertificateFactory.getInstance(CERTIFICATE_STANDARD);
//            Certificate clientC = cf.generateCertificate(trustIn);
//            tClient.load(null,null);
//            tClient.setCertificateEntry("clientT",clientC);

            // 创建一个 TrustManager 仅把 Keystore 中的证书 作为信任的锚点
            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            trustManagerFactory.init(tClient);

            sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());

//              配置所有证书的 认证管理器  未使用
//            javax.net.ssl.TrustManager[] trustAllCerts = {new TrustAllTrustManager()};
//            sslContext.init(keyManagerFactory.getKeyManagers(), trustAllCerts, new SecureRandom());
            return sslContext.getSocketFactory();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (CertificateException e) {
            e.printStackTrace();
        } catch (KeyStoreException e) {
            e.printStackTrace();
        }catch (IOException e) {
            e.printStackTrace();
        } catch (KeyManagementException e) {
            e.printStackTrace();
        }catch (Exception e){
            Log.e(TAG, "getSSLCertifcation() Exception:" + e.toString());
        }
        return  null;
    }
}

然后即可以得到SSLSocket

SSLSocket sslSocket = (SSLSocket) SSLHelper.getSSLCertifcation(context).createSocket(IP, PORT)

由于该项目中用到的是OKSocket框架,其实这里更简单:

  ConnectionInfo mInfo = new ConnectionInfo(ip, port);
        SSLSocketFactory sSLSocketFactory= SSLHelper.getSSLCertifcation(context);
        if(sSLSocketFactory == null){
            Log.w(TAG,"没有加载到证书");
        }
        OkSocketSSLConfig mOkSocketSSLConfig =new OkSocketSSLConfig.Builder()
                  .setProtocol("TLS")
                  .setCustomSSLFactory(sSLSocketFactory)//配置上SSLSocketFactory即可
                  .build();
        OkSocketOptions mOkOptions = new OkSocketOptions.Builder()
        .setReconnectionManager(new NoneReconnect())
                  .setConnectTimeoutSecond(5)//超时时间
                  .setCallbackThreadModeToken(new OkSocketOptions.ThreadModeToken() {
                      @Override
                      public void handleCallbackEvent(ActionDispatcher.ActionRunnable runnable) {
                          handler.post(runnable);
                      }
                  }).setSSLConfig(mOkSocketSSLConfig)//配置OkSocketSSLConfig即可
                  .build();
        IConnectionManager mManager = OkSocket.open(mInfo).option(mOkOptions);

三、双向认证(服务点实现)

服务端就不详细介绍,有兴趣的可以参考他人的文章,写的非常好:https://blog.csdn.net/albb_/article/details/90637338

欢乐高帖
关注
专栏目录
SSLSocketAndroid通信
08-16
android ssl socket java 整理了socketssl安全通信
Android实现SSL Socket双向认证
走马川行雪的博客
01-04 5042
1、生成服务端密钥 2、生成服务端证书 3、生成客户端密钥 4、生成客户端证书 5、将server端证书添加到serverTrust_ks.jks文件中 6、将client端证书添加到clientTrust_ks.jks文件中 (以上生成过程详见:https://blog.csdn.net/weixin_43192102/article/details/122214603) 7、将jks密钥转换为bks格式密钥(因为Android只支持.bks格式的密钥文件) ...
【转】HTTPS双向认证指南
最新发布
tpriwwq的专栏
07-20 1057
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。
Android实现ssl双向验证
albb_的博客
05-28 5139
Android实现双向验证 前言 Android实现双向认证的难点主要在于Android接受的证书格式是BKS,而一般提供的证书不包含此格式,需要手动转换 转换之后如果请求不了,表现为握手失败(Handshake failed),则一般是证书转换错误 网上有一大堆转换方法,有的虽能正常生成BKS证书,但还是导致握手失败,推测应该还是转换方式有误 在这里提供一种自...
java keystore pem_以编程方式从PEM获取KeyStore
weixin_28942523的博客
02-24 737
如何从包含证书私钥PEM文件中以编程方式获取KeyStore?我试图在HTTPS连接中向服务器提供客户端证书。我已经确认,如果我使用opensslkeytool来获取jks文件(该文件是动态加载的),则客户端证书可以使用。我什至可以通过动态读取p12(PKCS12)文件来使其工作。我正在考虑使用BouncyCastle的PEMReader类,但无法克服一些错误。我正在使用-Djavax.ne...
Java中的KeyStore和TrustStore以及 keytool 命令的使用
qq_31856061的博客
06-30 8010
当应用需要使用SSL/TLS进行通信时,我们将会使用到密钥库(keystore)和信任库(truststore)。 在 JDK8 之前,这些文件的默认格式为 JKS;从 JDK9 开始,默认格式为PKCS12。KeyStore 存储一个私钥和一个相关的证书,或者相关的证书链(由客户证书和一个或多个证书颁发机构(CA证书组成)。存储时,使用别名存储。它通常用于表明通信一方的身份。比如服务器使用 HTTPS,在 SSL 握手期间,服务器从密钥库中查找私钥,并将其对应的公钥和证书提供给客户端。一般都是单向认证
android sslsocket证书,在Android使用自签名证书创建SSL-Socket - java
weixin_39913628的博客
05-29 378
我正在尝试将Android应用连接到使用自签名证书的启用SSL的服务器。我已经阅读了数十个教程,并且该应用程序现在正在接受证书并连接到服务器,但是我再也收不到任何数据。我用来初始化套接字的原始代码是这样的://passphrase for keystorechar[] keystorePass="password".toCharArray();//load own keystore (MyApp ...
openssl 生成ca证书 pkcs12 pem格式转换
12-03
PKCS#12 是一种常用的证书格式PEM 是一种文本格式,用于存储证书私钥。 了解 OpenSSL 中的证书管理命令是非常重要的。下面是 OpenSSL 中的一些常用命令: 1. asn1parse 命令:用于解释用 ASN.1 语法书写的语句...
利用opensll实现RSA加解密(qt)
12-03
- **包含必要的头文件**:在C++程序中,你需要包含`#include <openssl/rsa.h>`,`#include <openssl/pem.h>`等头文件。 - **初始化OpenSSL库**:使用` OpenSSL_add_all_algorithms()` 和 `ERR_load_crypto_strings...
go-ssl:转到sll套接字示例
05-19
在这个例子中,`cert.pem`是服务器的公钥证书文件,`key.pem`是对应的私钥文件。 3. **自签名证书**: - 在开发和测试环境中,可以使用自签名证书。这些证书由服务器自身签发,不经过权威证书颁发机构(CA)验证,...
易语言调用openssl实现RSA加解密
06-02
为需要的内容不多,主要是RSA加解密部分,所以就删除了不必要的,公钥私钥pem需要就用原来大佬的软件生成吧。(当然附件也打包了一份)。做了一些小修改,主要是演示 RSA有关 加密和解密 安全性的部分。公钥加密,...
OpenSSL头文件和lib(64位)
05-15
6. **加载证书私钥**:使用`PEM_read_X509()`和`PEM_read_PrivateKey()`加载服务器的证书私钥。 7. **建立连接**:使用`SSL_CTX_use_certificate()`和`SSL_CTX_use_PrivateKey()`将证书私钥绑定到上下文对象,...
秒懂 Https 之如何在 Android使用自签名证书
weixin_38754349的博客
09-15 319
code小生 一个专注大前端领域的技术平台公众号回复Android加入安卓技术群作者:ShuSheng007链接:blog.csdn.net/ShuSheng0007/article/d...
android使用ssl与服务端进行通信
tanpf123的博客
08-28 2915
前言: SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLSSSL在传输层对网络连接进行加密。 而默认情况下,java利用的是TLS和JKS密库,而android使用规定的BKS密库。 1.生成服务端JKS秘钥与证书指令 keytool -gen...
Android 抓包相关 SSL相关
不会写代码的丝丽
02-01 1801
因此在Android P基本很少能能抓取http请求,多数以https为主。Android 7以上系统默认会让App不信任默认用户证书,只信用系统证书。默认情况我们只能导入用户证书,系统证书导入需要一些root权限。如下图所示导入的charles证书。如果你有root权限直接导入系统证书即可:如笔者次目录下的用户证书(2) 将证书文件拷贝到系统证书目录举例命令如果出现,重新挂载分区(android 8以上版本请关闭dm-verity以及avb在尝试网上重新挂载命令)。
Android https TrustManager checkServerTrusted 详解
菜鸟博客
01-25 3402
在okhttp源码解析中详细的分析了下其内部原理,现在就okhttp配置https的东东做一个简单的笔记。 网上查询的一些Okhttp中忽略HTTPS验证的代码如下所示。 TrustManager[] trustAllCerts = new TrustManager[]{new X509TrustManager() { @Override public void checkClientTrusted(java.security.cert.X
基于SSL/TLS双向安全连接设备CA证书认证
编程识堂的博客
12-05 4821
SSL/TLS 安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中很常见的一种身份检查方式是检查对方持有的 X.509 数字证书。这样的数字证书通常是由一个受信机构颁发的,不可伪造。 **保证机密性。**TLS 通讯的每次会话都会由会话密钥加密,会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。 完整性。 加密通讯中的数据很难被篡改而不被发现。 SSL/TLS 协议 TLS/SSL 协议下的通讯过程分为两部
http ssl 证书pem文件 和 私钥文件key 放入 httpclient 请求
weixin_40836984的博客
04-24 5184
public static String httpGET(String url, String pemPath, String keypath) { // 加载证书 try { SSLConnectionSocketFactory sslsf =getSocketFactoryPEM(pemPath, keypath); ...
windows opensll pfx转pem
08-30
在Windows中,将一个PFX文件转换为PEM格式可以通过以下步骤完成: 1. 打开“命令提示符”程序:从“开始”菜单中搜索“命令提示符”并打开它。 2. 使用以下命令进入OpenSSL的安装目录:cd C:\路径\to\openssl 3. 使用以下命令将PFX文件转换为PEM格式:openssl pkcs12 -in 路径\to\input.pfx -out 路径\to\output.pem -nodes 其中,"路径\to\input.pfx"是PFX文件的完整路径和文件名,"路径\to\output.pem"是要保存PEM文件的完整路径和文件名。 4. 执行命令后,系统会要求您输入PFX文件的密码。请提供正确的密码并按回车键。 5. 输入密码后,OpenSSL将会将PFX文件转换为PEM格式,并将其保存到指定的输出文件中。 完成上述步骤后,您可以在指定的输出文件(output.pem)中找到以PEM格式保存的证书私钥PEM文件通常是一个文本文件,您可以使用任何文本编辑器打开和查看其内容。 请确保在进行此操作之前,您已经正确安装了OpenSSL,并将OpenSSL的安装目录添加到系统的环境变量中。这样,您就可以在任何位置运行OpenSSL命令了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值