Android HTTPS之自签名证书认证(二)

使用okhttp框架 双向认证

在上一篇博客中《Android HTTPS之自签名证书认证(一)单向认证》,我们主要介绍了https单向认证,单向认证安全级基本上可以满足大部分应用场景,但仍有部分应用场景需要更高的安全级别,如涉及资金安全等场景,接下来在这一篇博客中,我们将在上一篇博客的基础上介绍一下如何进行双向认证,双向认证安全级别更高。

1.1 生成客户端证书库及证书

首先对于双向证书验证,也就是说,客户端也要有个“.p12文件”,服务器那边会同时有个“cer文件”与之对应。

我们在上一篇博客中已经生成了服务端证书及证书:server.p12和server.cer文件。

接下来我们依葫芦画瓢,生成客户端证书库及证书,我们命名为:client.p12,client.cer.

  • 生成client端证书库
keytool -genkey -alias client -keyalg RSA -storetype PKCS12 -keysize 2048 -keystore E:/ssl/client.p12 -dname "CN=Liting Wang,OU=onroad,O=onroad,L=Xiamen,ST=Fujian,c=cn" -validity 3650 -storepass 123456 -keypass 123456
  • 利用证书库client.p12来签发证书
keytool -export -alias client -file E:/ssl/client.cer -keystore E:/ssl/client.p12 -storepass 123456

1.2配置服务端

服务端的配置比较简单,跟单向认证差不多,不过需要添加些属性。

<Connector SSLEnabled="true" clientAuth="true"  
                maxThreads="150" port="8443" 
                protocol="org.apache.coyote.http11.Http11NioProtocol" 
                scheme="https" secure="true" sslProtocol="TLS"
                keystoreFile="conf/server.p12" keystorePass="123456"
                truststoreFile="conf/client.cer"/>

比单向认证多了truststoreFile="conf/client.cer",clientAuth属性被修改为true. 理论上值truststoreFile为我们的client.cer文件。但尝试启动服务器,会发生Invalid keystore format错误:

java.io.IOException: Invalid keystore format

​ at sun.security.provider.JavaKeyStore.engineLoad(Unknown Source)

​ at sun.security.provider.JavaKeyStore$JKS.engineLoad(Unknown Source)

​ at sun.security.provider.KeyStoreDelegator.engineLoad(Unknown Source)

​ at sun.security.provider.JavaKeyStore$DualFormatJKS.engineLoad(Unknown Source)

​ at java.security.KeyStore.load(Unknown Source)

​ at org.apache.tomcat.util.net.jsse.JSSESocketFactory.getStore(JSSESocketFactory.java:451)

​ at org.apache.tomcat.util.net.jsse.JSSESocketFactory.getTrustStore(JSSESocketFactory.java:407)

​ at org.apache.tomcat.util.net.jsse.JSSESocketFactory.getTrustManagers(JSSESocketFactory.java:658)

​ at org.apache.tomcat.util.net.jsse.JSSESocketFactory.getTrustManagers(JSSESocketFactory.java:570)

​ at org.apache.tomcat.util.net.NioEndpoint.bind(NioEndpoint.java:360)

​ at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:742)

​ at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:458)

​ at org.apache.coyote.http11.AbstractHttp11JsseProtocol.init(AbstractHttp11JsseProtocol.java:120)

​ at org.apache.catalina.connector.Connector.initInternal(Connector.java:960)

​ at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)

​ at org.apache.catalina.core.StandardService.initInternal(StandardService.java:568)

​ at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)

​ at org.apache.catalina.core.StandardServer.initInternal(StandardServer.java:851)

​ at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)

​ at org.apache.catalina.startup.Catalina.load(Catalina.java:576)

​ at org.apache.catalina.startup.Catalina.load(Catalina.java:599)

​ at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)

​ at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)

​ at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)

​ at java.lang.reflect.Method.invoke(Unknown Source)

​ at org.apache.catalina.startup.Bootstrap.load(Bootstrap.java:310)

​ at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:484)

Invalid keystore format。说keystore的格式不合法。为什么会这样呢,我个人理解是truststoreFile的值应该是证书库,但我们给的是证书文件,所以我们可以尝试把client.cer导入证书库中:

keytool -import -alias client -file E:/ssl/client.cer -keystore E:/ssl/sever_trust.p12 storepass 123456

接下里修改server.xml为:

<Connector SSLEnabled="true" clientAuth="true"  
                maxThreads="150" port="8443" 
                protocol="org.apache.coyote.http11.Http11NioProtocol" 
                scheme="https" secure="true" sslProtocol="TLS"
                keystoreFile="conf/server.p12" keystorePass="123456"
                truststoreFile="conf/sever_trust.p12"/>

启动,发现警报解除。

此时用浏览器访问我们的服务器,发现已经无法访问了,显示基于证书的身份验证失败。

如图1所示:

图1

1.3 Android端配置

与server.p12对应,client.p12应该要用于我们Android端。在上一篇博客中,我们在支持https单向认证的时候调用了这么两行代码:

sslContext.init(null, trustManagerFactory.getTrustManagers(), 
    new SecureRandom());
mOkHttpClient.setSslSocketFactory(sslContext.getSocketFactory());

注意sslContext.init的第一个参数我们传入的是null,第一个参数的类型实际上是KeyManager[] km,主要就用于管理我们客户端的key。

所以我们对setCertificates()进行改写,增加了客户端的证书库传递参数,为了区别了上一个方法,我将其重命令为setTwoWayCertificates().

/******************************
*  双向认证
******************************/
public void setTwoWayCertificates(InputStream clientcertificates, InputStream... certificates)
{
    try {
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        keyStore.load(null);
        int index = 0;
        for (InputStream certificate : certificates) {
            String certificateAlias = Integer.toString(index++);
            keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate));

            try {
                if (certificate != null)
                    certificate.close();
            } catch (IOException e) {
            }
        }
        SSLContext sslContext = SSLContext.getInstance("TLS");
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.
                getInstance(TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init(keyStore);

        //初始化keystore
        KeyStore clientKeyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        clientKeyStore.load(clientcertificates, "123456".toCharArray());

        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        keyManagerFactory.init(clientKeyStore, "123456".toCharArray());

        sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());
        mOkHttpClient.setSslSocketFactory(sslContext.getSocketFactory());
    } catch (Exception e) {
        e.printStackTrace();
    }
}

核心代码其实就是:

KeyStore clientKeyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        clientKeyStore.load(clientcertificates, "123456".toCharArray());

        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        keyManagerFactory.init(clientKeyStore, "123456".toCharArray());

        sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());

再次修改Application调用代码:

public class Android4HttpsApplication extends Application{
    @Override
    public void onCreate() {
        super.onCreate();
        try {
            //单向认证
            /*OkHttpClientManager.getInstance()
                    .setOneWayCertificates(getAssets().open("server.cer"));*/
            //双向认证
            OkHttpClientManager.getInstance()
                    .setTwoWayCertificates(getAssets().open("client.bks"),getAssets().open("server.cer"));
        } catch (IOException e){
            e.printStackTrace();
        }
    }
}

运行,报错:

12-12 08:53:31.226 4117-4117/? E/MainActivity: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.

为什么呢?

因为我们生成的证书格式为.p12,但是android平台只识别bks格式的证书文件,因此找不到证书路径。

所以需要将我们的client.p12转成.bks格式

网上有很多转换工具,本文采Portecle下载Download portecle-1.9.zip (3.4 MB)
双击打开portecle.jar,打开client.p12,Tools --> Change Keystore Type --> Bks将其转换为bks格式,输入密码保存生成client.bks,

图2

图3

将client.bks复制到Android project的assets目录下,

再次运行得到如下log

12-12 09:10:19.720 19220-19220/? D/MainActivity: Response is Hello world!

说明已可以正常访问,表示我们的双向认证成功。

参考:


完整代码可到我的github下载:
server: https://github.com/onroadtech/SpringbootBase/tree/springboot_https_self_signed_certificate_one_two_way_certificate
android:https://github.com/onroadtech/Android4HTTPS/tree/https_two_way_certification

本博文已同步发表于我的个人博客网站,欢迎转载指正并注明出处。
个人博客: www.onroad.tech
指正邮箱: onroad_tech@163.com

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容