Android实现https单双向认证及自签名证书生成方法

本文介绍Https单、双向认证实现过程及自签名证书生成方式,下附实现代码

[HTTPS单双向认证过程理解参见:](http://blog.csdn.net/u011084603/article/details/78540994)


一、HTTPS 单向认证

1. 给服务器生成密钥


  1. keytool -genkeypair -alias skxy -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore skxy.keystore  
keytool -genkeypair -alias skxy -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore skxy.keystore

2. 给Tomcat服务器配置Https

tomcat/config/server.xml修改connector配置

  1. <Connector port=“8443” protocol=“org.apache.coyote.http11.Http11Protocol”  
  2.                maxThreads=“150” SSLEnabled=“true” scheme=“https” secure=“true”  
  3.                clientAuth=“false” sslProtocol=“TLS”  
  4.                keystoreFile=“conf/skxy.keystore”  
  5.                keystorePass=“123456”/>  
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"
               keystoreFile="conf/skxy.keystore"
               keystorePass="123456"/>

3.导出证书

keytool -export -alias skxy -file skxy.cer -keystore skxy.keystore -storepass 123456


4.将证书放在android客户端,能够读取的地方比如assert目录

5.代码中执行网络请求,获取证书,读取https网站的数据

  1. String path = “https://10.0.3.2:8443/Test/Hlloer”;  
  2.   
  3.    try {  
  4.        //获取证书  
  5.        InputStream stream = getAssets().open(“skxy.cer”);  
  6.   
  7.        SSLContext tls = SSLContext.getInstance(“TLS”);  
  8.        //使用默认证书  
  9.        KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());  
  10.        //去掉系统默认证书  
  11.        keystore.load(null);  
  12.        Certificate certificate =  
  13.                CertificateFactory.getInstance(“X.509”).generateCertificate(stream);  
  14.        //设置自己的证书  
  15.        keystore.setCertificateEntry(“skxy”, certificate);  
  16.        //通过信任管理器获取一个默认的算法  
  17.        String algorithm = TrustManagerFactory.getDefaultAlgorithm();  
  18.        //算法工厂创建  
  19.        TrustManagerFactory instance = TrustManagerFactory.getInstance(algorithm);  
  20.        instance.init(keystore);  
  21.        tls.init(null, instance.getTrustManagers(), null);  
  22.        SSLSocketFactory socketFactory = tls.getSocketFactory();  
  23.        HttpsURLConnection.setDefaultSSLSocketFactory(socketFactory);  
  24.   
  25.        URL url = new URL(path);  
  26.        HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();  
  27.        //设置ip授权认证:如果已经安装该证书,可以不设置,否则需要设置  
  28.        conn.setHostnameVerifier(new HostnameVerifier() {  
  29.            @Override  
  30.            public boolean verify(String hostname, SSLSession session) {  
  31.                return true;  
  32.            }  
  33.        });  
  34.   
  35.        InputStream inputStream = conn.getInputStream();  
  36.        String result = getString(inputStream);  
  37.        stream.close();  
 String path = "https://10.0.3.2:8443/Test/Hlloer";

    try {
        //获取证书
        InputStream stream = getAssets().open("skxy.cer");

        SSLContext tls = SSLContext.getInstance("TLS");
        //使用默认证书
        KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
        //去掉系统默认证书
        keystore.load(null);
        Certificate certificate =
                CertificateFactory.getInstance("X.509").generateCertificate(stream);
        //设置自己的证书
        keystore.setCertificateEntry("skxy", certificate);
        //通过信任管理器获取一个默认的算法
        String algorithm = TrustManagerFactory.getDefaultAlgorithm();
        //算法工厂创建
        TrustManagerFactory instance = TrustManagerFactory.getInstance(algorithm);
        instance.init(keystore);
        tls.init(null, instance.getTrustManagers(), null);
        SSLSocketFactory socketFactory = tls.getSocketFactory();
        HttpsURLConnection.setDefaultSSLSocketFactory(socketFactory);

        URL url = new URL(path);
        HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
        //设置ip授权认证:如果已经安装该证书,可以不设置,否则需要设置
        conn.setHostnameVerifier(new HostnameVerifier() {
            @Override
            public boolean verify(String hostname, SSLSession session) {
                return true;
            }
        });

        InputStream inputStream = conn.getInputStream();
        String result = getString(inputStream);
        stream.close();

双向认证

  • 双向证书验证

首先对于双向证书验证,也就是说,客户端有自己的密匙,并持有服务端的证书,服务端给客户端发送数据时,需要将服务端的证书发给客户端验证,验证通过才运行发送数据,同样,客户端请求服务器数据时,也需要将自己的证书发给服务端验证,通过才允许执行请求。

按照以下步骤,我们设置双向认证

1.生成客户端keystore,因为客户端andoird不能用keystore格式的密钥库,所以先生成jks格式,再用Portecle工具转成bks格式

  1. keytool -genkeypair -alias client -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore client.jks  
keytool -genkeypair -alias client -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore client.jks

2.生成服务端keystore

  1. keytool -genkeypair -alias server -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore server.keystore  
keytool -genkeypair -alias server -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore server.keystore

3.导出客户端证书

  1. keytool -export -alias client -file client.cer -keystore client.jks -storepass 123456   
keytool -export -alias client -file client.cer -keystore client.jks -storepass 123456 

4.导出服务端证书

keytool -export -alias server -file server.cer -keystore server.keystore -storepass 123456 

5.重点:证书交换,

将客户端证书导入服务端keystore中,再将服务端证书导入客户端keystore中, 一个keystore可以导入多个证书,生成证书列表

  • 生成客户端信任证书库(由服务端证书生成的证书库)

    keytool -import -v -alias server -file E:\ssl\server.cer -keystore E:\ssl\truststore.jks -storepass 123456

  • 将客户端证书导入到服务器证书库(使得服务器信任客户端证书)

    keytool -import -v -alias client -file E:\ssl\client.cer -keystore E:\ssl\server.keystore -storepass 123456

6.查看证书库中的全部证书

  • keytool -list -keystore E:\ssl\server.keystore -storepass 123456

7.配置服务器

  • 修改server.xml文件

备注: - keystoreFile:指定服务器密钥库,可以配置成绝对路径,如“D:/key/server.keystore”,本例中是在Tomcat目录中创建了一个名- 称为key的文件夹,仅供参考。 - keystorePass:密钥库生成时的密码 - truststoreFile:受信任密钥库,和密钥库相同即可 - truststorePass:受信任密钥库密码

8.用Portecle工具,运行protecle.jar将client.jks和truststore.jks分别转换成client.bks和truststore.bks,然后放到android客户端的assert目录下

  • 运行protecle.jar–》打开文件选中client.jks,选择tools–>change keystore type–>选择BKS,最后关闭保存为client.bks

9.读取client.bks,进行网络请求

  • 通过上面的步骤生成的证书,客户端需要用到的是client.bks(客户端密钥,用于请求的时候给服务器来验证身份之用)和truststore.bks(客户端证书库,用于验证服务器端身份,防止钓鱼)这两个文件.其中安卓端的证书类型必须要求是BKS类型

10.下面给出SSLContext方式进行SSL认证的客户端代码


  1. try {  
  2.        // 服务器端需要验证的客户端证书,其实就是客户端的keystore  
  3.        KeyStore keyStore = KeyStore.getInstance(“BKS”);  
  4.        // 客户端信任的服务器端证书  
  5.        KeyStore trustStore = KeyStore.getInstance(“BKS”);  
  6.   
  7.        //读取证书  
  8.        InputStream ksIn = getResources().getAssets().open(“client.bks”);  
  9.        InputStream tsIn = getResources().getAssets().open(“truststore.bks”);  
  10.   
  11.        //加载证书  
  12.        keyStore.load(ksIn,”123456”.toCharArray());  
  13.        trustStore.load(tsIn,”123456”.toCharArray());  
  14.        IOUtils.close(ksIn);  
  15.        IOUtils.close(tsIn);  
  16.   
  17.        //初始化SSLContext  
  18.        SSLContext sslContext = SSLContext.getInstance(“TLS”);  
  19.        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(“X509”);  
  20.        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(“X509”);  
  21.        trustManagerFactory.init(trustStore);  
  22.        keyManagerFactory.init(keyStore, “123456”.toCharArray());  
  23.        sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);  
  24.   
  25.        //通过HttpsURLConnection设置链接  
  26.        SSLSocketFactory socketFactory = sslContext.getSocketFactory();  
  27.        HttpsURLConnection.setDefaultSSLSocketFactory(socketFactory);  
  28.   
  29.        URL connectUrl = new URL(url);  
  30.        HttpsURLConnection conn = (HttpsURLConnection) connectUrl.openConnection();  
  31.        //设置ip授权认证:如果已经安装该证书,可以不设置,否则需要设置  
  32.        conn.setHostnameVerifier(new HostnameVerifier() {  
  33.            @Override  
  34.            public boolean verify(String hostname, SSLSession session) {  
  35.                return true;  
  36.            }  
  37.        });  
  38.   
  39.        InputStream inputStream = conn.getInputStream();  
  40.        String content = getString(inputStream);  
  41.        IOUtils.close(inputStream);  
  42.        showLog(content);  
  43.   
  44.   
  45.    } catch (Exception e) {  
  46.        e.printStackTrace();  
  47.    }  
 try {
        // 服务器端需要验证的客户端证书,其实就是客户端的keystore
        KeyStore keyStore = KeyStore.getInstance("BKS");
        // 客户端信任的服务器端证书
        KeyStore trustStore = KeyStore.getInstance("BKS");

        //读取证书
        InputStream ksIn = getResources().getAssets().open("client.bks");
        InputStream tsIn = getResources().getAssets().open("truststore.bks");

        //加载证书
        keyStore.load(ksIn,"123456".toCharArray());
        trustStore.load(tsIn,"123456".toCharArray());
        IOUtils.close(ksIn);
        IOUtils.close(tsIn);

        //初始化SSLContext
        SSLContext sslContext = SSLContext.getInstance("TLS");
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("X509");
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X509");
        trustManagerFactory.init(trustStore);
        keyManagerFactory.init(keyStore, "123456".toCharArray());
        sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);

        //通过HttpsURLConnection设置链接
        SSLSocketFactory socketFactory = sslContext.getSocketFactory();
        HttpsURLConnection.setDefaultSSLSocketFactory(socketFactory);

        URL connectUrl = new URL(url);
        HttpsURLConnection conn = (HttpsURLConnection) connectUrl.openConnection();
        //设置ip授权认证:如果已经安装该证书,可以不设置,否则需要设置
        conn.setHostnameVerifier(new HostnameVerifier() {
            @Override
            public boolean verify(String hostname, SSLSession session) {
                return true;
            }
        });

        InputStream inputStream = conn.getInputStream();
        String content = getString(inputStream);
        IOUtils.close(inputStream);
        showLog(content);


    } catch (Exception e) {
        e.printStackTrace();
    }

另外一种方法

  • 在上面的基础上,修改第五步,将服务端的证书导入客户端的keystore中,然后在客户端只用一个keystore就额可以
  • 同样需要加载信任管理器和KeyManagerFactory,加载同一个keystore即可,这个已经验证通过,如有不妥之处,请提出探讨。

    //读取证书,这里可以只讲服务端的证书导入到客户端的keystore中,然后只要读取一个就可以
        //请求服务器时,将客户端的证书发给服务器验证,服务器中的keystore已经导入了客户端的证书,所以可以验证
        //服务器验证通过,然后服务器将客户端的证书发给客户端验证,同样验证成功才发送其他数据。
        //这里clientkeystore包含客户端的keystore和服务端的证书,客户端的keystore中包含自己的证书。
        InputStream ksIn = getResources().getAssets().open("clientkeystore.bks");
        InputStream tsIn = getResources().getAssets().open("clientkeystore.bks");




评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值