2. 程式人生 > >Android 加密傳輸(SSL),雙向認證 筆記

Android 加密傳輸(SSL),雙向認證 筆記

阿新 發佈:2018-12-13

工作需要使用到 Android  加密傳輸(SSL),雙向認證 ,因為未使用過,所以搜尋了總結了一下相關知識,並整理作為筆記

參考部落格 :Retrofit 2.0 詳解(二)載入https請求(轉)

                   Android實現ssl雙向驗證

搜尋的時候關於SSL+http 的解釋有很多,不做細說,本文只記錄如何實現,包括證書製作、myeclipse服務部署以及Android端程式碼。

證書製作

開啟cmd命令視窗

1、生成客戶端keystore

keytool -genkeypair -alias E:\sslhttpTest\keystool\client -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore E:\sslhttpTest\keystool\client.jks

注:此處 E:\sslhttpTest\keystool\client  是本人手誤 只需輸入 client 即可,alias 無需路徑

2、生成服務端keystore

keytool -genkeypair -alias server -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore E:\sslhttpTest\keystool\server.keystore

3、匯出客戶端證書

keytool -export -alias E:\sslhttpTest\keystool\client -file E:\sslhttpTest\keystool\client.cer -keystore E:\sslhttpTest\keystool\client.jks -storepass 123456

4、匯出服務端證書

keytool -export -alias server -file E:\sslhttpTest\keystool\server.cer -keystore E:\sslhttpTest\keystool\server.keystore -storepass 123456

5、重點:證書交換

將客戶端證書匯入服務端keystore中,再將服務端證書匯入客戶端keystore中, 一個keystore可以匯入多個證書,生成證書列表。

生成客戶端信任證書庫(由服務端證書生成的證書庫):

keytool -import -v -alias server -file E:\sslhttpTest\keystool\server.cer -keystore E:\sslhttpTest\keystool\truststore_s_for_c.jks -storepass 123456

將客戶端證書匯入到伺服器證書庫(使得伺服器信任客戶端證書):

keytool -import -v -alias E:\sslhttpTest\keystool\client -file E:\sslhttpTest\keystool\client.cer -keystore E:\sslhttpTest\keystool\client_for_server.keystore -storepass 123456

6、生成Android識別的BKS庫檔案

下載地址: protecle.jar 百度網盤下載地址

執行protecle.jar將client.jkstruststore_s_for_c.jks分別轉換成client.bkstruststore_s_for_c.bks ,然後放到android客戶端的assert目錄下

File -> open Keystore File -> 選擇證書庫檔案 -> 輸入密碼 -> Tools -> change keystore type -> BKS -> save keystore as -> 儲存即可

7、配置Tomcat伺服器(可選)

找到Tomcat安裝目錄 conf\server.xml檔案,配置8443埠

<Connector
        SSLEnabled="true"
        acceptCount="100"
        clientAuth="true"
        disableUploadTimeout="true"
        enableLookups="true"
        keystoreFile="E:/sslhttpTest/keystool/server.keystore"
        keystorePass="123456"
        maxSpareThreads="75"
        maxThreads="200"
        minSpareThreads="5"
        port="8443"
        protocol="org.apache.coyote.http11.Http11NioProtocol"
        scheme="https"
        secure="true"
        sslProtocol="TLS"
        truststoreFile="E:/sslhttpTest/keystool/client_for_server.keystore"
        truststorePass="123456"/>

注:

可以不配置tomcat ,只需配置 eclipse 的工程目錄中的對應的server.xml檔案 E:\eclipsework\.metadata\.me_tcat7\conf\server.xml(我的工程目錄在E:\eclipsework 根據實際情況找路徑) 。如果 eclipsework\.metadata\.me_tcat7 的目錄下沒有 conf 目錄,需要新建conf資料夾然後將 tomcat 安裝目錄 conf\server.xml檔案複製過來,然後啟動myeclipse的服務,會報錯 根據報錯刪除

<Listener className="org.apache.catalina.startup.VersionLoggerListener" />

即可,配置 server.xml 的埠

<Connector
        SSLEnabled="true"
        acceptCount="100"
        clientAuth="true"
        disableUploadTimeout="true"
        enableLookups="true"
        keystoreFile="E:/sslhttpTest/keystool/server.keystore"
        keystorePass="123456"
        maxSpareThreads="75"
        maxThreads="200"
        minSpareThreads="5"
        port="8443"
        protocol="org.apache.coyote.http11.Http11NioProtocol"
        scheme="https"
        secure="true"
        sslProtocol="TLS"
        truststoreFile="E:/sslhttpTest/keystool/client_for_server.keystore"
        truststorePass="123456"/>

Android 端配置

        SSLHelper

import android.content.Context;

import java.io.IOException;
import java.io.InputStream;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;

import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManagerFactory;

public class SSLHelper {
    private static final String TAG = "SSLHelper";
    private final static String CLIENT_PRI_KEY = "client";
    private final static String TRUSTSTORE_PUB_KEY = "truststore_s_for_c";
    private final static String CLIENT_BKS_PASSWORD = "123456";
    private final static String TRUSTSTORE_BKS_PASSWORD = "123456";
    private final static String KEYSTORE_TYPE = "BKS";
    private final static String PROTOCOL_TYPE = "TLS";
    private final static String CERTIFICATE_FORMAT = "X509";


    public static SSLSocketFactory getSSLCertifcation(Context context) {
        SSLSocketFactory sslSocketFactory = null;
        try { // 伺服器端需要驗證的客戶端證書,其實就是客戶端的keystore
            KeyStore keyStore = KeyStore.getInstance(KEYSTORE_TYPE);// 客戶端信任的伺服器端證書
            KeyStore trustStore = KeyStore.getInstance(KEYSTORE_TYPE);//讀取證書
            InputStream ksIn = context.getAssets().open(CLIENT_PRI_KEY);
            InputStream tsIn = context.getAssets().open(TRUSTSTORE_PUB_KEY);//載入證書
            keyStore.load(ksIn, CLIENT_BKS_PASSWORD.toCharArray());
            trustStore.load(tsIn, TRUSTSTORE_BKS_PASSWORD.toCharArray());
            ksIn.close();
            tsIn.close(); //初始化
            SSLContext sslContext = SSLContext.getInstance(PROTOCOL_TYPE);
            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(CERTIFICATE_FORMAT);
            KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(CERTIFICATE_FORMAT);
            trustManagerFactory.init(trustStore);
            keyManagerFactory.init(keyStore, CLIENT_BKS_PASSWORD.toCharArray());
            sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);
            sslSocketFactory = sslContext.getSocketFactory();
        } catch (KeyStoreException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (CertificateException e) {
            e.printStackTrace();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (UnrecoverableKeyException e) {
            e.printStackTrace();
        } catch (KeyManagementException e) {
            e.printStackTrace();
        }
        return sslSocketFactory;
    }
}
UnSafeTrustManager
public class UnSafeTrustManager implements X509TrustManager {
        @Override
        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public X509Certificate[] getAcceptedIssuers() {
            return new X509Certificate[]{};
        }
    }
Retrofit 初始化
        HttpLoggingInterceptor interceptor = new HttpLoggingInterceptor();
        interceptor.setLevel(HttpLoggingInterceptor.Level.BODY);
        //建立okhttp
        OkHttpClient httpClient = new OkHttpClient().newBuilder()
                .addInterceptor(interceptor)
                .retryOnConnectionFailure(true)
                .connectTimeout(30, TimeUnit.SECONDS)
                .sslSocketFactory(SSLHelper.getSSLCertifcation(context), new UnSafeTrustManager())
                .hostnameVerifier(new HttpsUtil.UnSafeHostnameVerifier())//由於還沒有域名,此處設定忽略掉域名校驗
                .build();

        retrofit=new Retrofit.Builder()
                .baseUrl(url)
                .client(httpClient)
                .addConverterFactory(GsonConverterFactory.create())
                .addCallAdapterFactory(RxJava2CallAdapterFactory.create())
                .build();

 

所有程式碼可以在百度網盤下載

百度網盤連結:測試程式下載

密碼:on6o

目錄說明:keystool.zip 測試證書壓縮包

                  LoginSSL.zip 測試後臺壓縮包

                  SSLTest.zip 測試Android 壓縮包 ,使用時請替換 MainActivity中的 url 地址的 ip 修改為測試的IP地址

 

 

 

 

 

 

 

 

 

 

 

 

 

 

相關推薦

Android 加密傳輸SSL雙向認證 筆記

工作需要使用到 Android  加密傳輸(SSL),雙向認證 ,因為未使用過,所以搜尋了總結了一下相關知識,並整理作為筆記 參考部落格 :Retrofit 2.0 詳解(二)載入https請求(轉)       &nbs

Android 加密傳輸SSL雙向認證 筆記

工作需要使用到 Android  加密傳輸(SSL),雙向認證 ,因為未使用過,所有搜尋了總結了一下相關知識,並整理作為筆記 搜尋的時候關於SSL+http 的解釋有很多,不做細說,本文值記錄如何實現,包括證書製作、myeclipse服務部署以及Android端程式

IBM AppScan 安全掃描:加密會話SSLCookie 中缺少 Secure 屬性處理辦法

原因分析: 伺服器開啟了Https時,cookie的Secure屬性應設為true; 解決辦法: 1.伺服器配置Https SSL方式,參考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,新增: <

Android主題切換基本使用流程

效果 前言 最近做的一個音樂類開源專案,有不少使用者反映,說介面主題膚色太單一,希望能夠提供多種顏色的主題供使用者選擇,剛好這段時間事情不多,就琢磨著為專案新增一個切換主題的功能。 在網上查閱了大量的資料、參考了各個App的主題切換效果,隨後做出了

加密會話SSLCookie 中缺少 Secure 屬性

appscan掃出來的漏洞,應用伺服器是was8.5 ,web伺服器是apache http server,配置了ssl加密傳輸,這個問題說的是在ssl傳輸中,系統所用的cookie沒有進行設定secure屬性。 首先cookie分為兩種,一種是使用者瀏覽器請求應用伺

Android程式碼混淆ProGuard資源混淆微信 AndResGuardSO混淆obfuscator-llvm

> 程式碼混淆  Android編譯的大致流程如下:Java Code(.java) -> Java Bytecode(.class) -> Dalvik Bytecode(classes.dex)。  第三方的軟體可以用來混淆我們的Android應用,常見

android httpsSSL 雙向驗證詳解

預備工具“bcprov-jdk16-141.jar”和“portecle.jar”將“bcprov-jdk16-141.jar”部署到jdk1.6.0_03\jre\lib\ext目錄下1:伺服器端的金鑰庫D:\a>keytool -genkey -alias

xampplampp 下配置httpsssl自簽雙向認證以後 apache無法啟動解決方案

art blog xtra 場景 問題 .com 客戶端瀏覽器 php https 自簽CA一般是沒有應用場景的,因為需要客戶端瀏覽器導入證書才能訪問 但是在某些需要內部使用的場景下,確實是一個解決方案 但是在lampp配置了雙向認證以後發現 原來自帶的管理命令 lampp

Android Camera2 拍照——切換攝像頭延時拍攝和閃光模式

openca any The visible surface else 提示 再次 .cn 原文:Android Camera2 拍照(三)——切換攝像頭,延時拍攝和閃光模式

Android圖片載入框架最全解析玩轉Glide的回撥與監聽筆記

參考原文:Android圖片載入框架最全解析(四),玩轉Glide的回撥與監聽 回撥的原始碼實現 的Target物件傳入到GenericRequest當中,而Glide在圖片載入完成之後又會回撥GenericRequest的onResourceReady()方法,onReso

Android圖片載入框架最全解析Glide強大的圖片變換功能筆記

參考原文:Android圖片載入框架最全解析(五),Glide強大的圖片變換功能 一個問題 百度這張logo圖片的尺寸只有540258畫素,但是我的手機的解析度卻是10801920畫素,而我們將ImageView的寬高設定的都是wrap_content,那麼圖片的寬度應該只有

Android圖片載入框架最全解析深入探究Glide的快取機制(筆記)

原文地址:Android圖片載入框架最全解析(三),深入探究Glide的快取機制 筆記: 1.Glide快取簡介 2.快取Key EngineKey 重寫了equals()和hashCode()方法,保證只有傳入EngineKey的所有引數都相同的情況下才認為是

Android圖片載入框架最全解析實現帶進度的Glide圖片載入功能筆記

參考原文:Android圖片載入框架最全解析(七),實現帶進度的Glide圖片載入功能 擴充套件目標 對Glide進行功能擴充套件,使其支援監聽圖片下載進度的功能 開始 dependencies { compile 'com.github.bumptech.glid

Android圖片載入框架最全解析探究Glide的自定義模組功能(筆記)

參考原文:Android圖片載入框架最全解析(六),探究Glide的自定義模組功能 自定義模組的基本用法 自定義模組功能可以將更改Glide配置,替換Glide元件等操作獨立出來,使得我們能輕鬆地對Glide的各種配置進行自定義,並且又和Glide的圖片載入邏輯沒有任何交集,

Android手機通過wifi進行資料傳輸

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Kowala協議:一組分散式自我調節資產跟蹤特性的加密貨幣

緊接前一篇文章 1、價格預言機 kUSD價格的估值將通過價格預言機來實現。 在該系統中,基於公共資源,每個參與者都被激勵以引導kUSD的正確價格,並定期通過向特殊智慧合約傳送預言機股權的方式來向kUSD網路報告該價格。 價格在中位數的一個sigma範圍內的參與者將獲得為此目的而鑄造的

QMUI Android的學習——1引入庫配置主題並實現沉浸式狀態列效果

最近進行安卓方面的學習,其中用到了騰訊開源的Android UI框架——QMUI Android,這是一個封裝完善的Android UI元件庫,可以給專案的開發提高了很高的工作效率,但是官方的API文件並不是很詳細,所以需要花費時間通過對官方給出的QMUIDEMO進行學習。 這是官方網站:htt

Android 魔術字型 背景陰影外陰影效果

先隨便貼兩張效果圖                                       &n

Android-音視訊7:使用Camera錄製視訊並存檔案

1.MediaCodec的作用 因為這裡會用到,所以先介紹這個的用法。 MediaCodec類用於使用一些基本的多媒體編解碼操作。 主要的API如下: getInputBuffers:獲取需要編碼資料的輸入流佇列,返回的是一個ByteBuffer陣列  queueI

Kowala協議:一組分散式自我調節資產跟蹤特性的加密貨幣

對於穩定幣來言,設計過程中會遇到很多細節的問題,今天來講述下有關通證設計過程中的一些問題。 1、計算手續費 計算費是交易費的一部分,轉移給kUSD礦工,並由以下公式決定: 其gasUsed(t) 是用於處理交易t的Gas,而gasPrice(t)是交易時的一個單位的