2. 程式人生 > >Android HTTPS SSL雙向驗證

Android HTTPS SSL雙向驗證

阿新 發佈:2018-12-31

一、HTTPS和HTTP的區別

1、https協議需要到ca申請證書,一般免費證書很少,需要交費。

2、http是超文字傳輸協議,資訊是明文傳輸,https 則是具有安全性的ssl加密傳輸協議。

3、http和https使用的是完全不同的連線方式,用的埠也不一樣,前者是80,後者是443。

4、http的連線很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,比http協議安全。

二、SSL功能

1)客戶對伺服器的身份認證:
SSL伺服器允許客戶的瀏覽器使用標準的公鑰加密技術和一些可靠的認證中心(CA)的證書,來確認伺服器的合法性。

2)伺服器對客戶的身份認證:
也可通過公鑰技術和證書進行認證,也可通過使用者名稱,password來認證。

3)建立伺服器與客戶之間安全的資料通道:
SSL要求客戶與伺服器之間的所有傳送的資料都被髮送端加密、接收端解密,同時還檢查資料的完整性。

SSL協議位於TCP/IP協議與各種應用層協議之間,為資料通訊提供安全支援。SSL協議可分為兩層:

SSL記錄協議(SSL Record Protocol):它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供資料封裝、壓縮、加密等基本功能的支援。

SSL握手協議(SSL Handshake Protocol):它建立在SSL記錄協議之上,用於在實際的資料傳輸開始前,通訊雙方進行身份認證、協商加密演算法、交換加密金鑰等。

三、生成金鑰庫和證書

可參考以下金鑰生成指令碼,根據實際情況做必要的修改,其中需要注意的是:服務端的金鑰庫引數“CN”必須與服務端的IP地址相同,否則會報錯,客戶端的任意。

1、生成伺服器證書庫

keytool -validity 365 -genkey -v -alias server -keyalg RSA -keystore D:\ssl\server.keystore -dname "CN=127.0.0.1,OU=rongyiwang,O=rongyiwang,L=Shanghai,ST=Shanghai,c=cn" -storepass 123456 -keypass 123456

2、生成客戶端證書庫

keytool -validity 365 -genkeypair -v -alias client -keyalg RSA -storetype
 
 PKCS12 -keystore D:\ssl\client.p12 -dname "CN=client,OU=rongyiwang,O=rongyiwang,L=Shanghai,ST=Shanghai,c=cn" -storepass 123456 -keypass 123456

3、從客戶端證書庫中匯出客戶端證書

keytool -export -v -alias client -keystore D:\ssl\client.p12 -storetype PKCS12 -storepass 123456 -rfc -file D:\ssl\client.cer

4、從伺服器證書庫中匯出伺服器證書

keytool -export -v -alias server -keystore D:\ssl\server.keystore -storepass 123456 -rfc -file D:\ssl\server.cer

5、生成客戶端信任證書庫(由服務端證書生成的證書庫)

keytool -import -v -alias server -file D:\ssl\server.cer -keystore D:\ssl\client.truststore -storepass 123456

6、將客戶端證書匯入到伺服器證書庫(使得伺服器信任客戶端證書)

keytool -import -v -alias client -file D:\ssl\client.cer -keystore D:\ssl\server.keystore -storepass 123456

7、檢視證書庫中的全部證書

keytool -list -keystore D:\ssl\server.keystore -storepass 123456
通過上面的步驟生成的證書,客戶端需要用到的是client.p12(客戶端證書,用於請求的時候給伺服器來驗證身份之用)和client.truststore(客戶端證書庫,用於驗證伺服器端身份,防止釣魚)這兩個檔案.

四、Android端SSL認證請求

        一般客戶端驗證SSL有兩種方式,一種是通過SSLSocketFactory方式建立,需要設定域名及埠號(適應於HttpClient請求方式),一種是通過SSLContext方式建立(適用於HttpsURLConnection請求方式).

1、下面給出SslSocketFactory方式進行SSL認證的客戶端程式碼

private static final String KEY_STORE_TYPE_BKS = "bks";//證書型別 固定值
    private static final String KEY_STORE_TYPE_P12 = "PKCS12";//證書型別 固定值

    private static final String KEY_STORE_CLIENT_PATH = "client.p12";//客戶端要給伺服器端認證的證書
    private static final String KEY_STORE_TRUST_PATH = "client.truststore";//客戶端驗證伺服器端的證書庫
    private static final String KEY_STORE_PASSWORD = "123456";// 客戶端證書密碼
    private static final String KEY_STORE_TRUST_PASSWORD = "123456";//客戶端證書庫密碼

    /**
     * 獲取SslSocketFactory
     *
     * @param context 上下文
     * @return SSLSocketFactory
     */
    public static SSLSocketFactory getSslSocketFactory(Context context) {
        try {
            // 伺服器端需要驗證的客戶端證書
            KeyStore keyStore = KeyStore.getInstance(KEY_STORE_TYPE_P12);
            // 客戶端信任的伺服器端證書
            KeyStore trustStore = KeyStore.getInstance(KEY_STORE_TYPE_BKS);

            InputStream ksIn = context.getResources().getAssets().open(KEY_STORE_CLIENT_PATH);
            InputStream tsIn = context.getResources().getAssets().open(KEY_STORE_TRUST_PATH);
            try {
                keyStore.load(ksIn, KEY_STORE_PASSWORD.toCharArray());
                trustStore.load(tsIn, KEY_STORE_TRUST_PASSWORD.toCharArray());
            } catch (Exception e) {
                e.printStackTrace();
            } finally {
                try {
                    ksIn.close();
                } catch (Exception ignore) {
                }
                try {
                    tsIn.close();
                } catch (Exception ignore) {
                }
            }
            return new SSLSocketFactory(keyStore, KEY_STORE_PASSWORD, trustStore);
        } catch (KeyManagementException | UnrecoverableKeyException | KeyStoreException | FileNotFoundException | NoSuchAlgorithmException | ClientProtocolException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        }
        return null;
    }
    
    /**
     * 獲取SSL認證需要的HttpClient
     *
     * @param context 上下文
     * @param port    埠號
     * @return HttpClient
     */
    public static HttpClient getSslSocketFactoryHttp(Context context, int port) {
        HttpClient httpsClient = new DefaultHttpClient();
        SSLSocketFactory sslSocketFactory = getSslSocketFactory(context);
        if (sslSocketFactory != null) {
            Scheme sch = new Scheme("https", sslSocketFactory, port);
            httpsClient.getConnectionManager().getSchemeRegistry().register(sch);
        }
        return httpsClient;
    }
2、下面給出SSLContext方式進行SSL認證的客戶端程式碼
private static final String KEY_STORE_TYPE_BKS = "bks";//證書型別 固定值
    private static final String KEY_STORE_TYPE_P12 = "PKCS12";//證書型別 固定值

    private static final String KEY_STORE_CLIENT_PATH = "client.p12";//客戶端要給伺服器端認證的證書
    private static final String KEY_STORE_TRUST_PATH = "client.truststore";//客戶端驗證伺服器端的證書庫
    private static final String KEY_STORE_PASSWORD = "123456";// 客戶端證書密碼
    private static final String KEY_STORE_TRUST_PASSWORD = "123456";//客戶端證書庫密碼
    
    /**
     * 獲取SSLContext
     *
     * @param context 上下文
     * @return SSLContext
     */
    private static SSLContext getSSLContext(Context context) {
        try {
            // 伺服器端需要驗證的客戶端證書
            KeyStore keyStore = KeyStore.getInstance(KEY_STORE_TYPE_P12);
            // 客戶端信任的伺服器端證書
            KeyStore trustStore = KeyStore.getInstance(KEY_STORE_TYPE_BKS);

            InputStream ksIn = context.getResources().getAssets().open(KEY_STORE_CLIENT_PATH);
            InputStream tsIn = context.getResources().getAssets().open(KEY_STORE_TRUST_PATH);
            try {
                keyStore.load(ksIn, KEY_STORE_PASSWORD.toCharArray());
                trustStore.load(tsIn, KEY_STORE_TRUST_PASSWORD.toCharArray());
            } catch (Exception e) {
                e.printStackTrace();
            } finally {
                try {
                    ksIn.close();
                } catch (Exception ignore) {
                }
                try {
                    tsIn.close();
                } catch (Exception ignore) {
                }
            }
            SSLContext sslContext = SSLContext.getInstance("TLS");
            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            trustManagerFactory.init(trustStore);
            KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X509");
            keyManagerFactory.init(keyStore, KEY_STORE_PASSWORD.toCharArray());
            sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);
            return sslContext;
        } catch (Exception e) {
            Log.e("tag", e.getMessage(), e);
        }
        return null;
    }
    
    /**
     * 獲取SSL認證需要的HttpClient
     *
     * @param context 上下文
     * @return OkHttpClient
     */
    public static OkHttpClient getSSLContextHttp(Context context) {
        OkHttpClient client = new OkHttpClient();
        SSLContext sslContext = getSSLContext(context);
        if (sslContext != null) {
            client.setSslSocketFactory(sslContext.getSocketFactory());
        }
        return client;
    }
    
    /**
     * 獲取HttpsURLConnection
     *
     * @param context 上下文
     * @param url     連線url
     * @param method  請求方式
     * @return HttpsURLConnection
     */
    public static HttpsURLConnection getHttpsURLConnection(Context context, String url, String method) {
        URL u;
        HttpsURLConnection connection = null;
        try {
            SSLContext sslContext = getSSLContext(context);
            if (sslContext != null) {
                u = new URL(url);
                connection = (HttpsURLConnection) u.openConnection();
                connection.setRequestMethod(method);//"POST" "GET"
                connection.setDoOutput(true);
                connection.setDoInput(true);
                connection.setUseCaches(false);
                connection.setRequestProperty("Content-Type", "binary/octet-stream");
                connection.setSSLSocketFactory(sslContext.getSocketFactory());
                connection.setConnectTimeout(30000);
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return connection;
    }
這裡還沒有給出Webview進行HTTPS請求的方式,正在研究中,後續有了再來更新,這裡需要注意一下的就是SSLContext的預設埠是443埠,這點需要注意一下

相關推薦

Android HTTPS SSL雙向驗證

一、HTTPS和HTTP的區別 1、https協議需要到ca申請證書,一般免費證書很少,需要交費。 2、http是超文字傳輸協議,資訊是明文傳輸,https 則是具有安全性的ssl加密傳輸協議。 3、http和https使用的是完全不同的連線方式,用的埠也不一樣,前

Android實現ssl雙向驗證

Android實現雙向驗證 前言 Android端實現雙向認證的難點主要在於Android接受的證書格式是BKS,而一般提供的證書不包含此格式,需要手動轉換 轉換之後如果請求不了,表現為握手失敗(Handshake failed),則一般是證書轉換錯誤

eclipse中使用Jetty外掛實現https請求與SSL雙向驗證

連結 完整程式原始碼下載,csdn還沒驗證通過 1. 包含https和socket兩種ssl測試程式碼 2. 所有密碼均為123456 環境準備 eclipse中安裝run-jetty-run外掛 csdn下載資源 java環境支援,需要使用keyt

iOS之開發SDK(.framework和.bundle)(包括支援ATS和ssl雙向驗證及瘦身)

一,說明 我在開發在開發SDK之前,看了這2篇文章.1,http://blog.sina.com.cn/s/blog_87533a080102vzyg.html  2, http://www.jianshu.com/p/43d55ae49f59 現在總結一下我開發的過程:

android httpsSSL雙向驗證詳解

預備工具“bcprov-jdk16-141.jar”和“portecle.jar”將“bcprov-jdk16-141.jar”部署到jdk1.6.0_03\jre\lib\ext目錄下1:伺服器端的金鑰庫D:\a>keytool -genkey -alias

SSL雙向認證以及證書的製作和使用-https+客戶端身份驗證

客戶端認證伺服器: 正規的做法是:到國際知名的證書頒發機構,如VeriSign申請一本伺服器證書,比如支付寶的首頁,點選小鎖的圖示,可以看到支付寶是通過VeriSign認證頒發的伺服器證書: 我們用的操作系統(windows, linux, unix ,android, ios等)都預置了很多信任的根證

HTTPS請求 SSL證書驗證

cer import failed blog kit urllib2 highlight www. header import urllib2 url = "https://www.12306.cn/mormhweb/" headers = {"User-Agent"

httpclient 3.1跳過https請求SSL驗證

turn .so stack import finally ssa pconnect rep nal 一、因為在使用https發送請求的時候會涉及,驗證方式。但是這種方式在使用的時候很不方便。特別是在請求外部接口的時候,所以這我寫了一個跳過驗證的方式。(供參考) 二、加入包

request發送HTTPS請求(處理SSL證書驗證)

瀏覽器 code erro 發送 傳輸層 查看 抓包 .com tcp連接 1、SSL是什麽,為什麽發送HTTPS請求時需要證書驗證? 1.1 SSL:安全套接字層。是為了解決HTTP協議是明文,避免傳輸的數據被竊取,篡改,劫持等。 1.2 TSL:Tran

spring boot,https雙向ssl認證

一、生成伺服器端證書 1、在cmd視窗執行命令:keytool -genkey -v -alias server -keyalg RSA -storetype PKCS12  -keystore  c:\keystore\server.keystore,   密碼隨意,自己記

處理HTTPS請求 SSL證書驗證

現在隨處可見 https 開頭的網站,urllib2可以為 HTTPS 請求驗證SSL證書,就像web瀏覽器一樣,如果網站的SSL證書是經過CA認證的,則能夠正常訪問,如:https://www.baidu.com/等...如果SSL證書驗證不通過,或者作業系統不信任伺服器的安全證書,比如瀏覽器在訪

Android 6.0 HTTPS SSL 無法訪問,提示Handshake failed(握手失敗),解決方案

前言 之前開發的一個專案使用的是http請求,但是安全公司給出了一個安全報告,建議使用https協議來訪問網路資源,使用私簽證書來實現了https。Android 6.0以下的版本均可以使用,Android 6.0及以上的機型請求成功,並且在logcat中有H

Android JSSE實現SSL雙向認證(阻塞模式及非阻塞模式)

      File pfxFile = new File(mCertPath, "ca.pfx");                try {            /*Android支援BKS PKCS12的keystore,不支援JKS,預設為BKS*/            //ksKeys = Ke

Android HTTPS如何10分鐘實現自簽名SSL證書

前言 去年公司內一個應用加了支付寶支付功能,為了保證安全,支付請求連結寫成了https。 由於公司伺服器使用的是的自簽名證書,而在Android系統中自己簽署的不能通過驗證的,所以會丟擲錯誤。 於是我網上查找了很多資料,也嘗試過幾種方法,過程都很繁瑣,搞了一通宵都不行。 幸

Android 客戶端 okhttp3 與伺服器之間的雙向驗證

本篇是Android 客戶端基於okhttp3的網路框架 和後臺伺服器之間的雙向驗證 分為三個階段 一:簡單的後臺伺服器搭建 二:客戶端接入okhttp3,並進行的網路請求 三:伺服器和客戶端的雙向驗證 第一步:   搭建簡單的伺服器 1:下載tomcat 2:配置

關於Okhttp3 https雙向驗證實現程式碼

使用前提: okhttp3 官網:http://square.github.io/okhttp/ 可能不同的情況會出現不同的情況,所以只能說我的程式碼邏輯不是百分之百可以適應不同環境的app,僅僅提供一個參考 1)首先準備,客戶端證書,服務端證書 本程式碼使用的證書是:

nginx配置將http請求轉發支援ssl雙向認證https請求的正向代理

一、引言 nginx 是否支援將http請求轉發為https支援ssl雙向認證,網上沒什麼用例可以參考,查詢各大開發運維社群了下有幾種說法 支援: 不支援: 不清楚家祭不忘告乃翁:

Python網路爬蟲筆記(7)處理HTTPS請求 SSL證書驗證

現在隨處可見 https 開頭的網站,urllib2可以為 HTTPS 請求驗證SSL證書,就像web瀏覽器一樣,如果網站的SSL證書是經過CA認證的,則能夠正常訪問,如:https://www.baidu.com/等...如果SSL證書驗證不通過,或者作業系統不信任伺服器的

Android Https雙向認證 + GRPC

() pla pan sting ase 根證書 認證 hand cli keywords:android https 雙向認證android GRPC https 雙向認證 ManagedChannel channel = OkHttpChannelBuilder.

使用libevhtp搭建HTTPS SERVER(雙向驗證身份)

本文主要介紹使用libevhtp搭建一個HTTPS SERVER的方法,非加密的HTTP SERVER搭建方法,請點選此處 (本文的構建環境繼承自該部落格)。本文將針對“雙向驗證身份”場景,介紹HTTPS SERVER的搭建方法。“單向驗證身份”的場景,請點選此處。1. 雙向