通过OpenSSL自签CA为Android服务器签发证书

最新推荐文章于 2024-08-08 07:28:31 发布
最新推荐文章于 2024-08-08 07:28:31 发布
阅读量2.4k 收藏 2
点赞数 3
分类专栏: android开发笔记 文章标签: Openssl CA Android Https Server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjskeepmaking/article/details/79177438
版权

文章目录


##前言
不知道大家有没有留意过开源库 AndServerNanoHttpd。这两个开源库都能实现在Android平台上快速搭建服务器,功能非常强大,也都分别支持 Https安全通信,大家如果有兴趣可以点进去看看。本文也是因为使用到Https通信,需要用到自签的服务器端证书,需要自己创建CA,并由这个CA去给服务器端签发证书( 因为我只需要客户端去认证服务器端的合法性,所以只用签发服务器端证书)。那么接下来就直接具体介绍一下怎么使用OpenSSL来创建CA,并为服务器端签发证书。
##配置环境

  • 安装OpenSSL
    这里不介绍如何安装openssl了,大家可以自行搜索下安装方法,其中在Linux上安装和在Windows下的安装方法全然不同,OpenSSL官方不提供window上的安装包,但有第三方提供了,这里提供一下链接win openssl 。在完成OpenSSL的安装之后,可以先修改下配置文件。

  • 修改配置文件

    • 修改dir
      这里写图片描述
    • 创建必要文件和文件夹
      这里写图片描述
    certs -- 用于存放已颁发的证书
newcerts -- 存放CA指令生成的新证书
private -- 用于存放私钥
crl -- 用于存放已吊销的证书
csr -- 用于存放证书申请文件
index.txt -- Openssl 定义的已签发证书的文本数据文件,通常在初始化的时候是空的
serial -- 证书签发时使用的序列号参考文件,该文件的序列号是以16进制格式进行保存的,该文件必须提供并且包含一个有效的序列号

      生成证书之前,需要先生成一个随机数:

    openssl rand -out private/.rand 1000

##创建CA根证书

  • 生成根证书私钥(key文件)
    命令:openssl genrsa -aes256 -out private/ca.key 1024
    这里写图片描述
    命令说明:

    genrsa --- 使用RSA算法生成私钥
-aes256 ---使用256位密钥的AES算法对私钥进行加密
-out ---输出文件的路径
1024 -- 指定私钥长度

  • 生成根证书请求文件(csr文件)
    命令:

    openssl req -new -key private/ca.key -out csr/ca.csr -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myname"

    这里写图片描述
    命令说明:

    req --- 执行证书签发命令
-new --- 新证书签发请求
-key ---指定私钥路径
-out --- 输出的csr文件的路径
-subj --- 书相关的用户信息(subject的缩写)

  • 自签发根证书(crt文件)
    命令:

    openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey private/ca.key -in csr/ca.csr -out certs/ca.crt

    这里写图片描述
    命令说明:

    x509 --- 生成x509格式证书
-req --- 输入csr文件
-days --- 证书的有效期(天)
-sha1 -- 证书摘要采用sha1算法
-extensions --- 按照openssl.cnf文件中配置的v3_ca项添加扩展
-signkey --- 签发证书的私钥
-in --- 要输入的csr文件
-out --- 输出的cer证书文件

这样,就可以生成一个根证书了,可以在certs文件夹中找到。
##用CA根证书签发服务器证书

  • 生成服务器私钥

    openssl genrsa -aes256 -out private/server.key 1024

    这里写图片描述

  • 生成服务器证书请求文件

    openssl req -new -key private/server.key -out csr/server.csr -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myname"

    这里写图片描述

  • 由CA根证书签发服务器证书

    openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certs/ca.crt -CAkey private/ca.key -CAserial ca.srl -CAcreateserial -in csr/server.csr -out certs/server.crt

    这里写图片描述

    命令说明:

    -CA – 指定CA证书的路径
    -CAkey – 指定CA证书的私钥路径
    -CAserial – 指定证书序列号文件
    -CAcreateserial – 表示创建证书序列号文件(上面提到的serial文件),创建序列号文件默认名称为-CA,指定的证书名称后加上.srl后缀
    -extensions – 拓展参数,这里指定为v3_req,打开之前的配置文件可以看到这个属性。
    这里写图片描述

    在上面CA自签根证书的时候,用到的是v3_ca, basicConstraints属性值为CA:TRUE,表明该证书是颁发给CA的证书:
    这里写图片描述

导出服务器证书

通过以上步骤,就可以得到由CA签发的服务器端的证书了,那么,我们得到这个证书之后怎么使用?我们都知道Java使用的是jks格式的秘钥库,而Android使用的bks格式的秘钥库。
那此时,我们的目标是得到一个bks格式的秘钥库:

  • 将签发证书和服务器秘钥合并导出为pcks格式

    openssl pkcs12 -export -in certs/server.crt -inkey private/server.key -out server.p12

这里写图片描述

  • 格式转换

    • 转换为pkcs8,以明文的方式保存
    openssl pkcs8 -in private/server.key -topk8  -nocrypt -out sever8.key

    • 转换为jks或者bks

      使用到一个工具 : Portecle
      这里写图片描述
      这里写图片描述
      这里写图片描述
      这里写图片描述
      这里写图片描述

wujushan
关注
专栏目录
使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
HTTPS - 自认证根证书CA生成/签发/发布
dhxiaoxu的专栏
01-04 3360
即使是非对称加密系统,也不能保证公钥的分发是可靠的. 为了防范公钥分发过程中的中间人攻击,需要一个可信的"始祖"公证人,这就是CA机构存在的意义. 由CA签发证书认证网站的过程 CA机构生成密钥对: 公钥 ca.cer 和 私钥 ca.key浏览器/操作系统携带证书ca.cer网站生成私钥 cert.key网站将公钥及网站信息(域名/组织等),提交给CA机构CA机构使用私钥ca.key
2024年【胖虎的逆向之路】Android自制Https证书实现双向认证(1),跳槽面试大厂被拒怎么办
2401_84520026的博客
05-06 883
这里的公钥服务端的公钥,这里的签名是指:用hash散列函数计算公开的明文信息的信息摘要,然后采用 CA 的私钥对信息摘要进行加密,加密完的密文就是签名。确保将正确的客户端证书和私钥文件(通常为 client.p12 或 client.pfx)放置到 Android 项目中,并使用相应的资源 ID 替换。SSL 服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心(CA)的证书,来确认服务器的合法性~证书有效期: 在创建证书时,设置适当的有效期限,确保证书在过期之前能够持续有效。
android ssl证书生成工具,Android配置SSL证书证书转换
weixin_29822105的博客
05-26 856
1.pfx转ceropenssl pkcs12 -nodes -nokeys -in xxx.pfx -passin pass:证书密码 -out xxx.cer2.下载bouncycastle的jar包wget http://repo2.maven.org/maven2/org/bouncycastle/bcprov-jdk16/1.46/bcprov-jdk16-1.46.jar3.cer转b...
AndServer 教程:Android上的Web服务器搭建与使用
最新发布
gitblog_00550的博客
08-08 985
AndServer 教程:Android上的Web服务器搭建与使用 AndServer:cherries: Web server and web framework of Android platform.项目地址:https://gitcode.com/gh_mirrors/an/AndServer 1. 项目介绍 AndServer 是由严振杰开发的一个轻量级Android Web服务器库,...
Android系统安全 — 1-OpenSSL生成密钥key和证书详解
qincheng168的博客
07-06 1670
OpenSSL生成密钥介绍
通过openssl导入证书到系统证书目录解决安卓7以上系统无法抓包问题
qq_34844277的博客
09-02 1254
背景:   测试过程中通常需要抓包定位问题,但安卓7.0及以上系统增加了系统证书验证。给手机安装https证书的方式无法满足7以上系统抓包要求。 原理:   手机/模拟器 需满足root要求,在此基础上将fiddler或charles的证书导入手机系统证书目录下,以满足系统证书校验。 步骤:   1、将fiddler/Cls证书导出到本地   2、通过OpenSSL获取证书的哈希值(下一步要用)     命令: //.cer格式证书 openssl x509 -inform DER
OpenSSL生成CA证书及终端用户证书
weixin_30849591的博客
05-15 469
环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 步骤 1. 生成CA证书 1.1 准备ca配置文件,得到ca.conf vim ca.conf ...
Android——自建CA证书,实现https请求
sinat_36768977的博客
02-03 2262
Android 使用https 协议请求客户端 server端操作 自己创建 CA证书 拿自建CA证书创建 server证书 创建 https 服务 Android客户端操作 创建项目并引入相关依赖 生成 Android端 keystore MainActivity.java &布局文件 activity_main.xml 修改 Android模拟器的 hosts文件 Android端发送HTTPS...
android访问自签CAHttps SSL双向认证(j2SE也能使用)
08-03
1. **创建自签CA证书**:使用如OpenSSL工具生成自签CA证书服务器证书,同时生成私钥。 2. **安装自签CA到设备**:将生成CA证书导入到Android设备的信任存储中。这可以通过创建一个TrustManager并覆盖其检查证书...
CA双向认证补充:java客户端使用优化及证书链和Android证书
程序员涂小哥的技术博客
04-11 3220
说明 上篇详细描述了自定义ca证书的步骤以及浏览器作为客户端和java作为客户端的使用方法。 但是之前的java客户端使用代码还存在一定的问题: 首先,之前的客户端根证书是在代码外部使用keytool安装到jdk证书库,次数多了就显得麻烦; 其次,之前的代码只能支持域名访问,这样没有真实域名时就必须更改host文件; 于是通过查找网络资料修改之后,便有了新的操作方式,使得java客户端可以支持ip...
Android代码-基于ssl(安全套接层)的安全传输信任X。509证书。.zip
08-02
通常,Android系统会信任由权威的证书颁发机构(CA签发证书。但在某些情况下,如使用自签证书或内部服务器,我们需要配置Android应用来信任特定的X.509证书。 实现这个功能的第一步是创建或获取X.509证书。这...
安卓手机安装CA证书并抓包获取手机数据和xshell远程连接服务器并查看日志
a172016692的博客
01-10 9903
一、android手机安装证书并抓包获取手机数据 前提:打开可抓取HTTPS的fiddler 1、连接可使用的WiFi,修改网络 2、手动代理,填写电脑Ip地址 3、手机设置好代理后,打开手机浏览器,在地址栏输入ip:端口号,即步骤2中所设置的ip和端口号,如192.168.1.1:888,前往搜索 4、点击搜索页面中的“FiddlerRoot certificate”,即可下载该证书 5、安装证书,以荣耀magic3为例 6、证书安装成功后,...
如何安装安卓(Android 7.0+)CA证书
tom的博客
03-14 1万+
写这个教程时,已经是2023年,现在最新的安卓系已经是Android 13。从Android7.0以后系统不再信任用户的证书,导致我们在使用一些网络调试工具时非常不便,为了解决这个问题,本教程将教你如何一步步操作,将用户级别的CA证书安装为系统级的CA证书
【胖虎的逆向之路】Android自制Https证书实现双向认证
m0_61331491的博客
04-09 1002
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。证书有效期: 在创建证书时,设置适当的有效期限,确保证书在过期之前能够持续有效。
APP渗透笔记:安卓9上传证书到系统证书目录
fy15869025928的博客
12-01 2106
安卓9抓包将证书导入到系统目录
Https双向验证证书Android+OpenSSL
http://www.flowerfat.com
12-21 6464
安卓面对openssl生成证书,应该何去何从?
Android生成自签证书并签署apk文件
Cailand的专栏
01-07 1246
1.修改 openssl 配置文件 vi /etc/pki/tls/openssl.cnf # match 表示后续生成的子证书的对应项必须和创建根证书时填的值一样,否则报错。以下配置只规定子证书的 countryName 必须和根证书一致。 [ policy_match ] 段配置改成如下: countryName = match stateOrProvinc...
OpenSSL命令行生成证书文件
热门推荐
06-11 3万+
证书文件生成也许很多人和本人一样深有体会,使用OpenSSL库写一个加密通讯过程,代码很容易就写出来了,可是整个工作却花了了好几天。除将程序编译成功外(没有可以使用的证书文件,编译成功了,它并不能跑起来,并不表示它能正常使用,所以......),还需生成必要的证书和私钥文件使双方能够成功验证对方。找了n多的资料,很多是说的很模糊,看了n多的英文资料,还是没有办法(不知道是不是外国朋友都比较厉害,不
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值