okhttp支持https双向认证

最新推荐文章于 2024-06-12 16:46:54 发布
最新推荐文章于 2024-06-12 16:46:54 发布
阅读量4.1k 收藏 2
点赞数 2
分类专栏: java 文章标签: https双向认证 okhttp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010199493/article/details/99325136
版权

 

搭建环境

服务端:dropwizard-jetty

准备文件:服务端秘钥d_server.jks,客户端公钥证书d_client_for_server.jks

客户端:retrofit / okhttp

准备文件:需要服务端证书d_server.cer,客户端私钥d_client.jks

生成证书

服务端,准备d_server.jks,d_client_for_server.jks

//生成服务端d_server.jks文件

1.keytool -genkey -alias d_server -keyalg RSA -keystore d_server.jks -validity 720 -storepass 123456

//生成公钥证书文件d_server.cer
2.keytool -export -alias d_server -file d_server.cer -keystore d_server.jks -storepass 123456

客户端:

1.keytool -genkey -alias d_client -keyalg RSA -keystore d_client.jks -validity 720 -storepass 654321
2.keytool -export -alias d_client -file d_client.cer -keystore d_client.jks -storepass 654321

//生成服务端d_client_for_server.jks文件
3.keytool -import -alias d_client -file d_client.cer -keystore d_client_for_server.jks

 

 

 Okhttp代码

InputStream insCer = new Buffer().writeUtf8(httpClientConf.getCer()).inputStream();
InputStream[] insCerArry = new InputStream[]{insCer};
InputStream insJksDir = new FileInputStream(httpClientConf.getJksDir());
SSLParams sslParams = HttpsUtils.getSslSocketFactory(insCerArry,insJksDir,httpClientConf.getJkspwd());
OkHttpClient.Builder builder = new OkHttpClient.Builder().sslSocketFactory(sslParams.sSLSocketFactory, sslParams.trustManager)

 

HttpUtils代码

import java.io.IOException;
import java.io.InputStream;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.KeyManager;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;
import javax.net.ssl.X509TrustManager;

public class HttpsUtils {
	public static class SSLParams {
		public SSLSocketFactory sSLSocketFactory;
		public X509TrustManager trustManager;
	}

	public static SSLParams getSslSocketFactory(InputStream[] certificates, InputStream jksFile, String password) {
		SSLParams sslParams = new SSLParams();
		try {
			TrustManager[] trustManagers = prepareTrustManager(certificates);
			KeyManager[] keyManagers = prepareKeyManager(jksFile, password);
			SSLContext sslContext = SSLContext.getInstance("TLS");
			X509TrustManager trustManager = null;
			if (trustManagers != null) {
				trustManager = new MyTrustManager(chooseTrustManager(trustManagers));
			} else {
				trustManager = new UnSafeTrustManager();
			}
			sslContext.init(keyManagers, new TrustManager[] { trustManager }, null);
			sslParams.sSLSocketFactory = sslContext.getSocketFactory();
			sslParams.trustManager = trustManager;
			return sslParams;
		} catch (NoSuchAlgorithmException e) {
			throw new AssertionError(e);
		} catch (KeyManagementException e) {
			throw new AssertionError(e);
		} catch (KeyStoreException e) {
			throw new AssertionError(e);
		}
	}

	private class UnSafeHostnameVerifier implements HostnameVerifier {
		@Override
		public boolean verify(String hostname, SSLSession session) {
			return true;
		}
	}

	private static class UnSafeTrustManager implements X509TrustManager {
		@Override
		public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
		}

		@Override
		public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
		}

		@Override
		public X509Certificate[] getAcceptedIssuers() {
			return new X509Certificate[] {};
		}
	}

	private static TrustManager[] prepareTrustManager(InputStream... certificates) {
		if (certificates == null || certificates.length <= 0)
			return null;
		try {

			CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
			KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
			keyStore.load(null);
			int index = 0;
			for (InputStream certificate : certificates) {
				String certificateAlias = Integer.toString(index++);
				keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate));
				try {
					if (certificate != null)
						certificate.close();
				} catch (IOException e)

				{
				}
			}
			TrustManagerFactory trustManagerFactory = null;

			trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
			trustManagerFactory.init(keyStore);

			TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();

			return trustManagers;
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		} catch (CertificateException e) {
			e.printStackTrace();
		} catch (KeyStoreException e) {
			e.printStackTrace();
		} catch (Exception e) {
			e.printStackTrace();
		}
		return null;

	}

	private static KeyManager[] prepareKeyManager(InputStream jksFile, String password) {
		try {
			if (jksFile == null || password == null)
				return null;

			KeyStore clientKeyStore = KeyStore.getInstance("JKS");
			clientKeyStore.load(jksFile, password.toCharArray());
			KeyManagerFactory keyManagerFactory = KeyManagerFactory
					.getInstance(KeyManagerFactory.getDefaultAlgorithm());
			keyManagerFactory.init(clientKeyStore, password.toCharArray());
			return keyManagerFactory.getKeyManagers();

		} catch (KeyStoreException e) {
			e.printStackTrace();
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		} catch (UnrecoverableKeyException e) {
			e.printStackTrace();
		} catch (CertificateException e) {
			e.printStackTrace();
		} catch (IOException e) {
			e.printStackTrace();
		} catch (Exception e) {
			e.printStackTrace();
		}
		return null;
	}

	private static X509TrustManager chooseTrustManager(TrustManager[] trustManagers) {
		for (TrustManager trustManager : trustManagers) {
			if (trustManager instanceof X509TrustManager) {
				return (X509TrustManager) trustManager;
			}
		}
		return null;
	}

	private static class MyTrustManager implements X509TrustManager {
		private X509TrustManager defaultTrustManager;
		private X509TrustManager localTrustManager;

		public MyTrustManager(X509TrustManager localTrustManager) throws NoSuchAlgorithmException, KeyStoreException {
			TrustManagerFactory var4 = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
			var4.init((KeyStore) null);
			defaultTrustManager = chooseTrustManager(var4.getTrustManagers());
			this.localTrustManager = localTrustManager;
		}

		@Override
		public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {

		}

		@Override
		public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
			try {
				defaultTrustManager.checkServerTrusted(chain, authType);
			} catch (CertificateException ce) {
				localTrustManager.checkServerTrusted(chain, authType);
			}
		}

		@Override
		public X509Certificate[] getAcceptedIssuers() {
			return new X509Certificate[0];
		}
	}
}

 

d_server.cer转换为字符串

>keytool -printcert -rfc -file d_server.cer
-----BEGIN CERTIFICATE-----\r\n
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
-----END CERTIFICATE-----

 

jetty服务端配置

server:
  type: default
  rootPath: '/rest/*'
  applicationContextPath: /
  maxThreads: 20
  minThreads: 1
  applicationConnectors: 
    - type: https
      port: 8443
      acceptorThreads: 1
      selectorThreads: 1
      acceptQueueSize: 1024
      keyStorePath: D:\project-spring\https\d_server.jks
      keyStorePassword: 123456
      keyStoreType: JKS
      trustStorePath: D:\project-spring\https\d_client_for_server.jks
      trustStorePassword: 654321
      trustStoreType: JKS
      needClientAuth: true
      enableCRLDP: false
      enableOCSP: false
      validateCerts: false
      validatePeers: false
      excludedProtocols: [SSL, SSLv2, SSLv2Hello, SSLv3] # (Jetty's default)
      excludedCipherSuites: [.*_(MD5|SHA|SHA1)$] # (Jetty's default)
      allowRenegotiation: true
小生向北
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android使用okhttp进行自制证书的双向SSL验证
z879381359的博客
06-04 2205
由于互联网全面普及,未来网络安全这块的发展空间很大的。随着物联网的不断应用,人们的生活和网络已经密不可分,网络上承载着数以亿计的各种信息,这些数据信息是个人、企业甚至是国家的战略性资源,所以保障他们的安全是一件非常重要的事情。因此,在未来,各个企业定会在网络安全这块倾尽余力。 所以为了保障网络安全,最近公司也在做双向验证的https接口,和其它企业进行对接。但是发现网上针对双向验证的...
CA双向认证补充:java客户端使用优化及证书链和Android证书
程序员涂小哥的技术博客
04-11 3214
说明 上篇详细描述了自定义ca证书的步骤以及浏览器作为客户端和java作为客户端的使用方法。 但是之前的java客户端使用代码还存在一定的问题: 首先,之前的客户端根证书是在代码外部使用keytool安装到jdk证书库,次数多了就显得麻烦; 其次,之前的代码只能支持域名访问,这样没有真实域名时就必须更改host文件; 于是通过查找网络资料修改之后,便有了新的操作方式,使得java客户端可以支持ip...
okHttphttps请求忽略ssl证书认证
最新发布
bai920708的博客
06-12 1410
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
Android OkHttp进行单向证书校验(双向的需要服务端也配置证书)
蓝色的天空的博客
05-31 2742
1.获取跟域名的证书文件 例如接口服务域名是 https://www.baidu.com/ 按照以下步骤导出证书信息,选择base64格式的.cer文件,用文本编辑器打开,复制证书信息 2.编写代码配置 // 证书信息进行缩减 private String CER_BAIDU = "xxxxxxxxxx"; //设置安全证书 public void setSafeOkHttpClient(OkHttpClient.Builder okhttpBuilder) { try {
HTTPS之TLS1.2连接详解
qq_40276626的博客
09-20 5256
本文说一下HTTPS的会话连接详情 1、三次握手连接 首先通过三次握手连接来建立连接 2、ClientHello 客户端首先明文发送以下信息,用于建立加密连接 1、随机数ClientRandom 客户端生成一个随机数ClientRandom ,用于后面合成 密钥 2、TLS版本号 客户端支持的TLS版本号 3、加密算法列表 客户端支持的加密算法列表 3、ServerHello 服务器收到客户端发送的ClientHello,然后发送回应信息到客户端,包括以下信息 1、确认TLS版本号 确认客户端发送的TLS
okHttp3,springBoot,postMan 不兼容问题
automannn
04-30 1812
趁这个空隙,将之前的一个问题记录一下。 问题描述: 后台使用spring-webMvc搭建快速的后台接口,形如(注意,方法应该是post,我这里是随便截取的一个示例,用以说明问题,实体参数对象没有做任何特殊的注解): 当使用 postMan传输时,形如: 上传,属性能够被正确的封装,解析。 使用okHtt...
自建CA证书,java实现通过OkHttpClient发送https(验证ca证书)请求
qq_37392351的博客
03-10 1043
1、实现步骤 1.1 环境准备 <!-- 将客户端公钥导入的服务端jdk信任库 --> keytool -import -alias sslTestClient_01 -file F:\ghj\prooooject\jar\test\client\sslTestClient_01.cer -keystore 'C:\Program Files\Java\jdk1.8.0_261\jre\lib\security\cacerts' -storepass changeit –v <!--
Android实现https双向认证/单向认证 okhttp+Retrofit+https
u011511057的专栏
01-03 3109
Android实现https双向认证/单向认证 okhttp+Retrofit+https 随着android版本的提升,和各个应用对通信安全的要求,https成为我们不得不去面对的问题 在开始本篇之前,首先最好是看下https通信原理,送上大神连接https://www.jianshu.com/p/07b055544123 看图说话,图片(取自上面链接中) 如果你已经看过https通信原理,应...
okhttp配置自签名https证书
蓝不蓝编程
05-24 1497
背景 有些时候,为了做内部测试,服务器上得配置自签名证书,这样安卓客户端需要通过自签名证书去访问. 解决方案 增加工具类HttpsUtil class HttpsUtil { class SSLParams { lateinit var sSLSocketFactory: SSLSocketFactory lateinit var trustManag...
https双向认证证书配置详解
11-02
针对网上不同作者写的有用cer有的是crt,有的用pem,有的用key所以容易被绕晕所以自己整理了一下 希望对刚接触证书以及需要配置双向认证的人有帮助,内含的ssl双向证书认证,如何为tomcat配置https单、双向请求认证,以及有关证书配置的详解!整理的可能不是很好,忘多多包涵!涉及的东西还是比较多的 需要自己多看看 理解理解!
Retrofit2.0+OkHttp网络请求
05-04
android简单实用的Retrofit2.0+OkHttp网络请求Demo,希望可以帮到你
OkHttp的一个Demo
01-22
自己写的一个OKHttp的学习的一个Demo,里面有常规的get,post请求;post上传参数,post上传Json;post上传文件,get下载文件;上传下载文件的进度提示;Http请求的缓存的一点知识;Https单向双向认证的Demo。
android https 双向验证
08-04
NULL 博文链接:https://zjingye.iteye.com/blog/2007868
关于使用OKHttp调试自签名证书进行双向认证的一些看法
Mr_Tony的专栏
10-25 4001
注1:调试过程如果客户端和服务端都不熟悉的话最好由一个人完成 注2:本文只是对以下链接内容的完善及其解释 注3:本文是基于OKHttp上进行的代码调试 注4:本文是自签名证书,属于测试代码,并没有在正式环境上使用 注5:建议读者仔细尝试过相关链接后再进行阅读本文 注6:可能会使用到startup.bat命令启动tomcat相关链接: 《基于Java的https双向认证,android上亦
https双向认证
u010692259的博客
11-14 4902
1.公钥和私钥【非对称加密】 公钥加密的数据只有私钥可以解密,私钥加密的数据只有公钥可以解,公钥是不安全的,在通信链路上会相互发送,可能被黑客获取,私钥存放在用户主机上。 A-》B 用A的私钥加密,签名,保证发送方的真实性。 再用B的公钥加密,只有B能解开,保证数据安全性。 对称加密用一个密码,容易被破解,战争期间用一个必须人为传送,送命很常见。 非对称加密,都拥有公钥和自己的私...
okHttp框架的介绍 和关于https的自定义签名证书的问题
彭思正的博客
04-18 9259
参考博客:【张鸿洋的博客】   Android Https相关完全解析 当OkHttp遇到Https 1.okhttp的介绍:  它能够处理: 一般的get请求一般的post请求基于Http的文件上传文件下载加载图片支持请求回调,直接返回对象、对象集合支持session的保持 平台使用: 使用前,对于Android Studio的用户,可以选择添加: com
OkHttp发送HTTP、(验证/忽略CA的)HTTPS请求示例
JustryDeng
06-12 7905
声明:相对来说,前面两个准备工作才是关键,OkHttp的使用示例反而不是那么重要了。 提示:建议直接去Github上将本人的测试项目下载下来(链接见文末),自己运行一下测试方法,进行观察,这样学 习效率极佳。 准备工作之提供HTTP/HTTPS都可访问的API: 提示:此准备工作教会大家如何利用jdk自带的keytool生成keystore及证书,进而提供出供HTTPS访...
如何使用okhttp发送https请求
05-17
要使用 okhttp 发送 HTTPS 请求,您需要做以下几个步骤: 1. 添加 okhttpokhttp-tls 依赖库到您的项目中。 2. 创建 OkHttpClient 对象,并配置 SSL Socket Factory 和 HostnameVerifier。 3. 构建 Request ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值