2. 程式人生 > >retrofit遇上https自簽名證書

retrofit遇上https自簽名證書

阿新 發佈:2019-02-02

最近來了家新公司,後臺設計在非線上環境用自簽名證書,線上環境用CA證書,然後發了份.cer公鑰給我.讓我在客戶端處理一下.

我查了很多部落格,隻言片語的,
HTTPS的流程也比較長,
今天除錯好了,貼出連續的程式碼給大家看一下.

https有2種情況 單向驗證雙向驗證
單向認證:客戶端通過直接讀取後臺給的公鑰驗證握手
比如直接讀取cer檔案或者直接把公鑰寫在程式碼裡.
雙向認證:客戶的有公鑰,後臺也有公鑰,互相儲存對方的公鑰,驗證網路通訊,
這個時候Android端要生成bks.

有很多部落格一上來就生成bks,一定要知道什麼場景.

單向驗證方法一:簡單粗暴,直接信任所有.

在MainActicity.java中: 有個網路請求:loadData()方法

public void loadData() {
        SSLSocketFactoryUtils.MyX509TrustManager myX509TrustManager= new SSLSocketFactoryUtils.MyX509TrustManager();
        OkHttpClient okhttpclient=new OkHttpClient.Builder()
               .sslSocketFactory(SSLSocketFactoryUtils.createSSLSocketFactory(), SSLSocketFactoryUtils.createTrustAllManager())
                .hostnameVerifier(new
 
 SSLSocketFactoryUtils.TrustAllHostnameVerifier())
                .build();

        Retrofit retrofit = new Retrofit.Builder()
                .baseUrl("https://gw.dev.cmrh.com:8888/RH_MAS/")
                .client(okhttpclient)
       .addConverterFactory(
               new Converter.Factory(){
                   public
 
 @Nullable Converter<ResponseBody, ?> responseBodyConverter(Type type,
                                                                                     Annotation[] annotations, Retrofit retrofit) {
                       return new Converter<ResponseBody, Object>() {
                           @Override
                           public Object convert(ResponseBody value) throws IOException {
                               return value.string();
                           }
                       };
                   }
               })
                .build();

        GitHubService service = retrofit.create(GitHubService.class);

        Call<String> call = service.listRepos();
        call.enqueue(MainActivity.this);

    }

    @Override
    public void onResponse(Call<String> call, Response<String> response) {
        Log.d("body-onResponse",response.body()+";;;;;;");
    }

    @Override
    public void onFailure(Call<String> call, Throwable t) {

        t.printStackTrace();
        Log.d("body-onFailure",call.request().url()+"============");
    }

關鍵的就是OkHttpClient裡的 sslSocketFactoryhostnameVerifier設定
然後就是 Retrofit.client(okhttpclient)使用我們自己設定的client.

SSLSocketFactoryUtils.java的實現內容:

public class SSLSocketFactoryUtils {
    /*
    * 預設信任所有的證書
    * todo 最好加上證書認證,主流App都有自己的證書
    * */
    public static SSLSocketFactory createSSLSocketFactory() {
        SSLSocketFactory sslSocketFactory = null;
        try {
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, new TrustManager[]{createTrustAllManager()}, new SecureRandom());
            sslSocketFactory = sslContext.getSocketFactory();
        } catch (Exception e) {

        }
        return sslSocketFactory;
    }


        public static X509TrustManager createTrustAllManager() {
        X509TrustManager tm = null;
        try {
         tm =   new X509TrustManager() {
                public void checkClientTrusted(X509Certificate[] chain, String authType)
                        throws CertificateException {
                    //do nothing,接受任意客戶端證書
                }

                public void checkServerTrusted(X509Certificate[] chain, String authType)
                        throws CertificateException {
                    //do nothing,接受任意服務端證書
                }

                public X509Certificate[] getAcceptedIssuers() {
                    return new X509Certificate[0];
                }
            };
        } catch (Exception e) {

        }
        return tm;
    }
    public  static  class TrustAllHostnameVerifier implements HostnameVerifier{

        @Override
        public boolean verify(String hostname, SSLSession session) {
            return true;
        }
    }

這樣就完成了.
這個方法簡單粗暴,完全不用加任何公鑰檔案,直接信任所有,安全性當然降低.

哪你會問,後臺的cer檔案沒有用到啊?
是的,接下來,介紹驗證cer檔案的程式碼:

第一步:公鑰準備:
12306網站上直接提供他們的公鑰下載,下下來的檔名srca.cer拿他做錯誤的公鑰,
我們後臺的公鑰:ca.cer

將他們放入raw資料夾下.
這裡寫圖片描述

在上面MainActivity中唯一改動的地方就是:
這裡寫圖片描述

只有SSLSocketFactory的獲取方式變了.

下面是SSLSocketFactoryUtils的內容:

//TODO 下面為新
    static int keyServerStroreID =R.raw.ca;

    public static SSLSocketFactory createSSLSocketFactory(Context context) {
       SSLSocketFactory mSSLSocketFactory = null;
        if(mSSLSocketFactory==null){
            synchronized (SSLSocketFactoryUtils.class) {
                if(mSSLSocketFactory==null){

                    InputStream trustStream = context.getResources().openRawResource(keyServerStroreID);
                    SSLContext sslContext;
                    try {
                        sslContext = SSLContext.getInstance("TLS");
                    } catch (NoSuchAlgorithmException e) {
                        Log.e("httpDebug","createSingleSSLSocketFactory",e);
                        return null;
                    }
                    //獲得伺服器端證書
                    TrustManager[] turstManager = getTurstManager(trustStream);

                    //初始化ssl證書庫
                    try {
                        sslContext.init(null,turstManager,new SecureRandom());
                    } catch (KeyManagementException e) {
                        Log.e("httpDebug","createSingleSSLSocketFactory",e);
                    }

                    //獲得sslSocketFactory
                    mSSLSocketFactory=sslContext.getSocketFactory();
                }
            }
        }
        return mSSLSocketFactory;
    }

    /**獲得指定流中的伺服器端證書庫*/

    public static TrustManager[] getTurstManager(InputStream... certificates) {
        try {
            CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
            keyStore.load(null,null);
            int index = 0;
            for (InputStream certificate : certificates) {
                if (certificate == null) {
                    continue;
                }
                Certificate certificate1;
                try {
                    certificate1 = certificateFactory.generateCertificate(certificate);
                }finally {
                    certificate.close();
                }

                String certificateAlias = Integer.toString(index++);
                keyStore.setCertificateEntry(certificateAlias,certificate1);
            }

            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory
                    .getDefaultAlgorithm());

            trustManagerFactory.init(keyStore);
            return trustManagerFactory.getTrustManagers();

        } catch (Exception e) {
            Log.e("httpDebug","SSLSocketFactoryUtils",e);
        }

        return getTurstAllManager();
    }

    /**
     * 獲得信任所有伺服器端證書庫
     * */
    public static TrustManager[] getTurstAllManager() {
        return new X509TrustManager[] { new MyX509TrustManager() };
    }

    public static class MyX509TrustManager implements X509TrustManager {

        public void checkClientTrusted(X509Certificate[] chain, String authType) {
        }

        public void checkServerTrusted(X509Certificate[] chain, String authType) {
            System.out.println("cert: " + chain[0].toString() + ", authType: " + authType);
        }

        public X509Certificate[] getAcceptedIssuers() {
            return null;
        }
    }

驗證一下:
當static int keyServerStroreID =R.raw.ca;用我們自己的證書申請的效果是:這裡寫圖片描述

當static int keyServerStroreID =R.raw.srca;用12306訪問公司介面
這裡寫圖片描述

這樣就達到我們的目的了.

最後.加個 GitHubService的內容吧 

public interface GitHubService {
    @GET("base/v1.0/downloadPage?appId=moa")
    Call<String> listRepos();
}

MyApplication

public class MyApplication  extends Application{

    public static Context context;

    @Override
    public void onCreate() {
        super.onCreate();
        context=this.getApplicationContext();

    }
}

這篇文章並沒有太多https的討論,只是簡單的貼出了https在retrofit網路請求下的實現程式碼.
拋磚引玉,至少沒做過這方面的同學可以很快上手.

補充一下讀取 cer檔案資訊,特別是cer檔案的有效時間:

     import android.content.Context;

        import java.io.File;
        import java.io.FileInputStream;
        import java.io.InputStream;
        import java.security.cert.CertificateFactory;
        import java.security.cert.X509Certificate;
        import java.text.SimpleDateFormat;
        import java.util.Date;

        import junit.framework.TestCase;

public class CertManager extends TestCase{


    /***
     * 讀取*.cer公鑰證書檔案, 獲取公鑰證書資訊
     * @author xgh
     */
    public static  void testReadX509CerFile(Context context) throws Exception{


        try {
            // 讀取證書檔案

            File file = new File("src/GYGSCB2100000500.cer");
            InputStream inStream = new FileInputStream(file);

            // 建立X509工廠類
            CertificateFactory cf = CertificateFactory.getInstance("X.509");
            //CertificateFactory cf = CertificateFactory.getInstance("X509");
            // 建立證書物件
            X509Certificate oCert = (X509Certificate) cf
                    .generateCertificate(inStream);
            inStream.close();
            SimpleDateFormat dateformat = new SimpleDateFormat("yyyy/MM/dd");
            String info = null;
            // 獲得證書版本
            info = String.valueOf(oCert.getVersion());
            System.out.println("證書版本:" + info);
            // 獲得證書序列號
            info = oCert.getSerialNumber().toString(16);
            System.out.println("證書序列號:" + info);
            // 獲得證書有效期
            Date beforedate = oCert.getNotBefore();
            info = dateformat.format(beforedate);
            System.out.println("證書生效日期:" + info);
            Date afterdate = oCert.getNotAfter();
            info = dateformat.format(afterdate);
            System.out.println("證書失效日期:" + info);
            // 獲得證書主體資訊
            info = oCert.getSubjectDN().getName();
            System.out.println("證書擁有者:" + info);
            // 獲得證書頒發者資訊
            info = oCert.getIssuerDN().getName();
            System.out.println("證書頒發者:" + info);
            // 獲得證書籤名演算法名稱
            info = oCert.getSigAlgName();
            System.out.println("證書籤名演算法:" + info);

        } catch (Exception e) {
            System.out.println("解析證書出錯!");
            e.printStackTrace();
        }
    }

}

這裡寫圖片描述

證書內容12306的確實可以用keytool 直接讀取,但是我們公司的加密了,直接讀取不了

相關推薦

retrofithttps簽名證書

最近來了家新公司,後臺設計在非線上環境用自簽名證書,線上環境用CA證書,然後發了份.cer公鑰給我.讓我在客戶端處理一下. 我查了很多部落格,隻言片語的, HTTPS的流程也比較長, 今天除錯好了,貼出連續的程式碼給大家看一下. https有2種情況 單

Nginx 配置 HTTPS簽名證書

sta num web oca pos sof AI bsp OS 工具:OpenSSL ssl的開源實現,幾乎實現了市面上所有的加密libcrypto: 通用加密庫, 任何軟件要實現加密功能 鏈接調用這個庫libssl: TLS/SSL 加密庫 openssl:

tomcat配置https簽名證書(keytool生成)

pri list tin led str orm unit lock pass tomcat配置https自簽名證書(keytool生成) 生成keystore keytool -genkeypair -alias "server" -keyalg &

SDWebImage 加載Https簽名證書時的圖片問題

str values ext 找到 from ict ati implement creat 你是否遇到了這種情況,好不容易把自簽名HTTPS證書配置好了,訪問https接口也成功了,但是圖片加載不出來? 傳了SDWebImageAllowInvalidSSLCertifi

glide 整合okhttp3 解決https簽名證書問題

compile 'com.github.bumptech.glide:glide:3.7.0'compile 'com.github.bumptech.glide:okhttp3-integration:[email protected]'

tomcat配置https簽名證書

一、環境搭建 安裝jdk: 略安裝tomcat : 略配置java環境變數:略執行測試tomcat:略安裝vcredist_x86:這個的東西是安裝openssl的環境,安裝oenssl前需安裝此環境。安裝openssL:a網上搜索Win32OpenSSL-1_0_1g.e

解決linux netcore https請求使用簽名證書忽略安全檢查方法

mva supported support ali figure -s issue 大致 iss 當前系統環境:centos7 x64. dotnet 2.0. 不管是 ServicePointManager.ServerCertificateValidationCallb

certbot在Centos7配置合法簽名證書,實現nginx的https訪問

certbot合法簽名證書 nginx配置https 咖菲貓-李常明筆記 公司因之前使用的openssh創建的自簽名證書,有一個弊端,就是在某些客戶端上不能使用此證書,無法使用https連接,所以,研究了一下certbot 做簽名證書! certbot的官網地址: https://certbot.

https CA簽名證書,並給Webserver頒發證書

extension there form nal 3.2 vim city append cor **CA主機執行命令** [root@centos7 ~]# cd /etc/pki/CA [root@centos7 CA]# touch index.txt [root@c

Nginx配置https簽名證書

曾經iOS 為安全起見要求所有請求必須https,記錄專案中配置https過程。 # 生成一個RSA金鑰 openssl genrsa -des3 -out xgj.key 1024 # 拷貝一個不需要輸入密碼的金鑰檔案 openssl rsa -in xgj.key -out xg

iOS開發HTTPS實現之信任SSL證書簽名證書

                                          &nb

HTTPS協議以及雙向數字證書校驗 簽名證書的生成

$ openssl x509 -text -in client.crt -noout Certificate:     Data:         Version: 1 (0×0)         Serial Number:             d6:e3:f6:fa:ae:65:ed:df      

HTTPS】使用OpenSSL生成帶有SubjectAltName的簽名證書

操作步驟 首先新建一個配置檔案 ssl.conf如下: [ req ] default_bits = 4096 distinguished_name = req_distinguished_

使用CA簽名證書搭建HTTPS網站

在自己倒騰https網站的時候用自定義的CA給自己的網站做自簽名的問題一直困擾了我好久,下面是我自己測試成功的案例,網上有很多類似的問題,在這裡儲備一份供自己和他人蔘考使用。 1. 安裝linux,apache,openssl元件,在此不做贅述,我用的就是

Android使用OkHttp訪問簽名證書Https介面

我的簡書:簡書 前言 在Android開發中,Okhttp想必大家都不陌生,一個處理網路請求的開源專案,是安卓端最火熱的輕量級框架。 本人在開發過程中也用了很長一段時間了,但是基本請求的都是http介面。即使訪問https網站也都是綠色的,有個很特殊的大型

iOS: HTTPS簽名證書

不是每個公司都會以數百美金一年的代價向CA購買SSL證書。在企業應用中,付費的SSL證書經常被自簽名證書所替代。當然,對於自簽名證書iOS是沒有能力驗證的。Safari遇到這種無法驗證的自簽名證書的唯一處理方法,就是將問題扔給使用者,讓使用者決定是否應該相信此類證書。它提供了

HttpClient實現HTTPS客戶端程式設計---可信證書簽名證書

HttpClient的HTTPS客戶端程式設計—可信證書與自簽名證書 本文基於HttpClient4.5.4,對可信證書和自簽名證書的網站訪問編碼,涉及https連線過程、證書、證書鏈、根證書、keystore、自簽名等概念,就不在本文中細說了。

Cordova下簽名證書無法訪問https問題(IOS和Android)

最近準備將專案上架到AppStore,但從17年開始,AppStore稽核條件要求所有網路請求都為https,所以就在內網(192.……)布好了自測環境,並將環境對映到了公網(58.……)。接著問題就

解決簽名證書在Chrome的“不是私密連線問題”

有時候需要在區域網上訪問IP地址,但是由於作業系統或者瀏覽器的原因(蘋果,小程式不允許在app中訪問http介面),會給彈出警告,如下: 此問題可用openssl生成證書,並在瀏覽器中或者安卓蘋果裝置上安裝證書來解決。 相關概念 生成證書 一.建

iOS基於AFNetworking使用簽名證書實現HTTPS請求

二:HTTPS加密方式 對稱加密只有一個金鑰,加密和解密都用這個金鑰; 非對稱加密有公鑰和私鑰,私鑰加密後的內容只有公鑰才能解密,公鑰加密的內容只有私鑰才能解密。公鑰加密的另一用途是身份驗證:用私鑰加密的資訊,可以用公鑰對其解密,接收者由此可知這條資訊確實來自於擁有私鑰的某