java 防止证书导出,ssl证书生成及java secure provider踩坑记录

最新推荐文章于 2024-06-20 11:17:42 发布
最新推荐文章于 2024-06-20 11:17:42 发布
阅读量489 收藏
点赞数
文章标签: java 防止证书导出

生成android 需要的BKS证书

项目需要手机做http server 由于要用SSL加密,所以需要用到ssl证书和私钥,用openssl生成的步骤如下

创建证书和私钥

openssl req -newkey rsa:2048 -new -nodes -x509 -days 36500 -keyout key.pem -out cert.pem

输入这行命令后会提示输入证书的国家、组织等信息,这里请保证重要的信息不要跳过

转换为p12格式

因为android 默认只支持BKS格式的keystore,所以需要将上面生成的证书和私钥封装到一个bks文件中,这里可以通过openssl 命令先将证书和私钥封装到p12格式的keystore,再将p12 文件转为bks 文件

openssl pkcs12 -export -in cert.pem -inkey key.pem -out android.p12

从p12转换为BKS

keytool -importkeystore -srckeystore ./android.p12 -srcstoretype pkcs12 -destkeystore ./android.bks -deststoretype bks -provider org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath ~/bcprov-ext-jdk15on-158.jar

使用 KeyTool 转换为 BKS 格式时,需要 bcprov-ext-jdk15on-158.jar,文件路径直接带在 -providerpath 参数后面即可。也可以放到如下路径:jdk/jre/lib/ext。

通过三个命令 就成功的创建了证书和私钥,并将其封装到一个bks文件中,android中就可以正常的使用了。

坑一

项目的两个模块都需要用到ssl。另一个模块的同事引入了com.madgag.spongycastle 的BouncyCastleProvider 的库,并写了如下代码:

Security.removeProvider(BouncyCastleProvider.PROVIDER_NAME);

Security.insertProviderAt(new BouncyCastleProvider(), 1);

Security.removeProvider(BouncyCastleJsseProvider.PROVIDER_NAME);

Security.insertProviderAt(new BouncyCastleJsseProvider(), 2);

如此设置后,BouncyCastleProvider及BouncyCastleJsseProvider就成了默认的密码库, 本来android就有BouncyCastleProvider,用这个新引入的想来也没有问题。但结果就出了问题,报了个

java.io.IOException: initialization failed

debug 跟代码,发现问题的原因是 org.spongycastle.jsse.provider.ProvTrustManagerFactorySpi#getTrustAnchors 为空, 导致org.spongycastle.jsse.provider.ProvX509TrustManager 初始化失败,抛出了上面的ioexception

为什么失败呢? 我发现keystore加载的bks证书只有一个type为sealed的entry ,而getTrustAnchors需要certificateentry 来加载trustAnchors。

我用portecle 软件打开上文中生成的bks证书发现确实只有一个entry,尝试用portecle将cert.pem和key.pem存到keystore的两个entry中,再导出为bks文件,编译、运行,发现终于解决了。

总结: android集成的BouncyCastleProvider与com.madgag.spongycastle的BouncyCastleProvider实现有不同,为了保持兼容,最好把keystore的cert和key保存到不同的entry中,可以用软件来操作,方便很多

坑二

解决了上面的问题后,又发现了新的问题

07-27 18:16:00.654 10114-10206/×××× W/ProvTlsClient: Client raised fatal(2) internal_error(80) alert: Failed to read record

java.net.SocketTimeoutException: Read timed out

at java.net.SocketInputStream.socketRead0(Native Method)

at java.net.SocketInputStream.socketRead(SocketInputStream.java:119)

at java.net.SocketInputStream.read(SocketInputStream.java:176)

at java.net.SocketInputStream.read(SocketInputStream.java:144)

at org.spongycastle.util.io.Streams.readFully(Streams.java:92)

at org.spongycastle.util.io.Streams.readFully(Streams.java:73)

at org.spongycastle.tls.TlsUtils.readAllOrNothing(TlsUtils.java:586)

at org.spongycastle.tls.RecordStream.readRecord(RecordStream.java:182)

at org.spongycastle.tls.TlsProtocol.safeReadRecord(TlsProtocol.java:593)

at org.spongycastle.tls.TlsProtocol.readApplicationData(TlsProtocol.java:556)

at org.spongycastle.jsse.provider.ProvSSLSocketWrap$AppDataInput.read(ProvSSLSocketWrap.java:570)

at okio.Okio$2.read(Okio.java:140)

在做为client时,okhttp频繁报上面的warn,最终会报:

java.net.SocketException: Software caused connection abort

at java.net.SocketInputStream.socketRead0(Native Method)

at java.net.SocketInputStream.socketRead(SocketInputStream.java:119)

at java.net.SocketInputStream.read(SocketInputStream.java:176)

at java.net.SocketInputStream.read(SocketInputStream.java:144)

at org.spongycastle.util.io.Streams.readFully(Streams.java:92)

at org.spongycastle.util.io.Streams.readFully(Streams.java:73)

at org.spongycastle.tls.TlsUtils.readFully(TlsUtils.java:606)

at org.spongycastle.tls.RecordStream.decodeAndVerify(RecordStream.java:229)

at org.spongycastle.tls.RecordStream.readRecord(RecordStream.java:221)

at org.spongycastle.tls.TlsProtocol.safeReadRecord(TlsProtocol.java:593)

at org.spongycastle.tls.TlsProtocol.readApplicationData(TlsProtocol.java:556)

at org.spongycastle.jsse.provider.ProvSSLSocketWrap$AppDataInput.read(ProvSSLSocketWrap.java:570)

at okio.Okio$2.read(Okio.java:140)

这个问题google、百度了许久还是没找到原因,感觉是BouncyCastleJsseProvider 的原因,可也找不到适配BouncyCastleJsseProvider的方式。 最终才找到用回android默认provider的办法 ,这样就规避了这个问题。

替换secure provider的方式很简单,在 SSLContext、KeyStore 等组件生成的getInstance方法中都可以指定provider,android 默认的两个provider如下:

加载BKS证书的provider 类名: com.android.org.bouncycastle.jce.provider.BouncyCastleProvider , name:"BC",

负责ssl的provider,类名:com.android.org.conscrypt.OpenSSLProvider, name:AndroidOpenSSL

总结: 接入第三方的secure provider 真的要慎用Security.insertProviderAt这种影响全局的方式,否则会碰到各种奇奇怪怪的问题 ,不过通过解决这个问题也让自己对secure provider和sslcontext、keystore 有了更深的认识。

参考:

Wings电子竞技俱乐部
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javaprovider_Java Provider 信息
weixin_35738080的博客
03-05 226
provider.info();Provider.1=SUN (DSA key/parameter generation; DSA signing; SHA-1, MD5 digests; SecureRandom; X.509 certificates; JKS keystore; PKIX CertPathValidator; PKIX CertPathBuilder...
ssl访问,报错javax.net.ssl.SSLException: java.security.ProviderException: java.securi
zjhclx的专栏
04-30 840
linux服务器上,服务端访问https链接时,报错:javax.net.ssl.SSLException: java.security.ProviderException: java.security.KeyException 在之前的服务器上没有问题,但是在阿里云新装了个环境,就报这个错误。查了一下,原来安装的jdk版本是openjdk 而不是sun原有的jdk 修改办法是更换jdk ...
记录:[android] SSLHandshakeException: Handshake failed 问题;已解决!
最新发布
BirdEatBug的博客
06-20 347
A、添加依赖:implementation 'org.conscrypt:conscrypt-android:2.5.2' B、在application 里初始化;
已解决java.security.ProviderException异常的正确解决方法,亲测有效!!!
小明的Java问道之路
04-10 713
已解决java.security.ProviderException异常的正确解决方法,亲测有效!!!
kettle工具连接MySQL数据库报错 Caused by: javax.net.ssl.SSLException: Received fatal alert: internal_error
guoheng_123的博客
08-18 4536
前几天为了修复MySQL数据库漏洞,项目上从5.7.41版本升级到了5.7.43,今天在使用kettle时发现数据库突然连不上了,测试连接报如下错误: Error connecting to database: (using class org.gjt.mm.mysql.Driver) Communications link failureThe last packet successfully received from the server was 11 milliseconds ago
国密https访问
fenglllle的博客
10-21 3875
现在的SSL的加密算法实际上主要是国际算法,包括JDK,Go等语言也仅支持国际算法加密(毕竟是国外开源项目),hash。随着国密算法的普及,比如openssl就支持国密了,还要新版本的Linux内核也开始支持,以openssl为例:那么如果需要国密证书,或者访问国密https的时候就需要特定的sslsocket的握手算法传输层密码协议(TLCP)GB/T 38636-2020:传输层密码协议该协议与TLS协议的最重大区别,就是要求通信端提供两个证书:认证证书和加密证书
certificate-generator-master_java证书生成_
10-02
例如,你可以使用`keytool`生成JKS(Java密钥库)文件,导入和导出证书,以及管理密钥对。虽然`keytool`在许多场景下足够用,但更复杂的需求可能需要编写自定义的Java代码。 总结起来,Java证书生成涉及到的关键...
java生成csv文件乱码的解决方法示例 java导出csv乱码
09-04
Java生成CSV(Comma Separated Values)文件时,可能会遇到乱码问题,这通常是由于编码设置不正确导致的。CSV文件是一种常见的数据交换格式,通常用于导入和导出数据到电子表格程序如Microsoft Excel。当在Java...
java导出生成word的简单方法
09-02
Java开发中,有时我们需要将数据导出到Word文档中,以便用户可以进行查看、编辑或打印。本文将详细介绍一种简单的方法,即使用XML模板和FreeMarker库来生成Word文档。这种方法具有良好的灵活性和样式控制,同时...
Ad域证书申请导出,导入java秘钥库,实现ssl修改用户密码以及禁用启用 整个流程
05-13
介绍Ad域服务器证书如何申请,如何导出,如何导入到java秘钥库,地址:https://blog.csdn.net/hc1017/article/details/81293323 实现ssl 修改ad用户密码,禁用启用用户。有两个demo测试文
基于Java的数字签名、数字证书生成源码.zip
06-17
3. 签发证书:使用`java.security.cert.X509CertGenerator`生成自签名证书,这里既是CA也是证书持有者,所以用自己的私钥对请求进行签名。 4. 导出证书证书可以以PEM或DER格式存储,方便使用。 在给定的压缩包...
证书转换portecle-1.9.zip
10-18
https证书格式转换(bks bksv-1 cer jks) 各种证书生成,比如P12证书转BKS证书。BKS证书转P12
HTTPS双向认证破解抓包
Elm56的博客
01-29 5741
近段时间因为业务需要研究了下 HTTP + TLS的抓包,研究过程挺耗时耗力的,还好最后研究出来了,现在写文章记录一下整个过程。 实验环境为Android+SpringBoot 写的靶机,,生成证书为了简单一律用的jdk自带的Keytool生成,jdk要设置第三方安全库、需要添加bcprov-jdk15on-168.jar到jdk里并做一些设置,网上很多资料我这里就不详细叙述了。下面开始介绍了 #1.先介绍一下Android如何实现的TLS 的 SSL Ping证书绑定及解绑 Android端的证书一般放在
java 建立tlsv1.2报错,在Java 1.4中使用TLSV1.2时没有此类算法异常
weixin_31693025的博客
02-24 567
I am trying to hit a webservice which supports TLSv1.2. I am using Java 1.4. It does not support TLSv1.2.Now someone told me that BC could solve my problem.Though does it work with a SSLEngine as drop...
netty集成ssl双向验证
woaiqianzhige的博客
12-06 2221
netty集成ssl双向验证 文章分为两部分, 生成服务器和客户端两个证书 将证应用到netty中 生成证书用到jak自带的工具,一会再讲,先看如果假设我们已经有两个证书(服务器和客户端)如何写程序 服务器上要添加sslhandler,参数是sslEngine,而engine由sslContext创建 p.addLast(new SslHandler(context.newEngine...
密码技术学习(3)-Java加密体系
laozhaishaozuo的专栏
08-18 796
目录 Java的安全组成 Java Provider体系 参考书籍和文章 本系列其他文章 Java的安全组成 我的主编程语言是Java,所以我用Java语言来学习这些加密技术。 我们先来介绍几个概念 JCA (Java Cryptography Architecture)它提供了基础的加密框架,包括”Provider”架构以及一系列Api,比如证书、数字签名、消息摘要、密钥生成器等...
解决Java调用Azure SDK证书错误javax.net.ssl.SSLHandshakeException
weixin_30460489的博客
12-05 1167
Azure作为微软的公有云平台,提供了非常丰富的SDK和API让开发人员可以非常方便的调用的各项服务,目前除了自家的.NET, Java, Python, nodeJS, Ruby,PHP等语言都提供支持,详细的文档说明请参考: https://azure.microsoft.com/en-us/documentation/ 然而在使用过程中,以Java语言为例,在初始调用Azure SDK...
使用iText生成Java代码中的PDF文档导出示例
iText是一个用于在Java代码中生成PDF文档的开发工具。本文档将详细介绍如何使用iText生成PDF文档,并提供相关的开发文档和Maven依赖配置。 一、iText简介 iText是一个开源的Java库,用于处理和生成PDF文档。它提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值