轉自:http://blog.csdn.net/u011394071/article/details/52880062
一、HTTPS 單向認證
1. 給伺服器生成密鑰
[html] view plain copy
- keytool -genkeypair -alias skxy -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore skxy.keystore
2. 給Tomcat伺服器配置Https
tomcat/config/server.xml修改connector配置
[html] view plain copy
- <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
- maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
- clientAuth="false" sslProtocol="TLS"
- keystoreFile="conf/skxy.keystore"
- keystorePass="123456"/>
3.導出證書
keytool -export -alias skxy -file skxy.cer -keystore skxy.keystore -storepass 123456
4.将證書放在android用戶端,能夠讀取的地方比如assert目錄
5.代碼中執行網絡請求,獲驗證書,讀取https網站的資料
[html] view plain copy
- String path = "https://10.0.3.2:8443/Test/Hlloer";
- try {
- //獲驗證書
- InputStream stream = getAssets().open("skxy.cer");
- SSLContext tls = SSLContext.getInstance("TLS");
- //使用預設證書
- KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
- //去掉系統預設證書
- keystore.load(null);
- Certificate certificate =
- CertificateFactory.getInstance("X.509").generateCertificate(stream);
- //設定自己的證書
- keystore.setCertificateEntry("skxy", certificate);
- //通過信任管理器擷取一個預設的算法
- String algorithm = TrustManagerFactory.getDefaultAlgorithm();
- //算法工廠建立
- TrustManagerFactory instance = TrustManagerFactory.getInstance(algorithm);
- instance.init(keystore);
- tls.init(null, instance.getTrustManagers(), null);
- SSLSocketFactory socketFactory = tls.getSocketFactory();
- HttpsURLConnection.setDefaultSSLSocketFactory(socketFactory);
- URL url = new URL(path);
- HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
- //設定ip授權認證:如果已經安裝該證書,可以不設定,否則需要設定
- conn.setHostnameVerifier(new HostnameVerifier() {
- @Override
- public boolean verify(String hostname, SSLSession session) {
- return true;
- }
- });
- InputStream inputStream = conn.getInputStream();
- String result = getString(inputStream);
- stream.close();
雙向認證
- 雙向證書驗證
首先對于雙向證書驗證,也就是說,用戶端有自己的密匙,并持有服務端的證書,服務端給用戶端發送資料時,需要将服務端的證書發給用戶端驗證,驗證通過才運作發送資料,同樣,用戶端請求伺服器資料時,也需要将自己的證書發給服務端驗證,通過才允許執行請求。
按照以下步驟,我們設定雙向認證
1.生成用戶端keystore,因為用戶端andoird不能用keystore格式的密鑰庫,是以先生成jks格式,再用Portecle工具轉成bks格式
[html] view plain copy
- keytool -genkeypair -alias client -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore client.jks
2.生成服務端keystore
[html] view plain copy
- keytool -genkeypair -alias server -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore server.keystore
3.導出用戶端證書
[html] view plain copy
- keytool -export -alias client -file client.cer -keystore client.jks -storepass 123456
4.導出服務端證書
keytool -export -alias server -file server.cer -keystore server.keystore -storepass 123456
5.重點:證書交換,
将用戶端證書導入服務端keystore中,再将服務端證書導入用戶端keystore中, 一個keystore可以導入多個證書,生成證書清單
-
生成用戶端信任證書庫(由服務端證書生成的證書庫)
keytool -import -v -alias server -file E:\ssl\server.cer -keystore E:\ssl\truststore.jks -storepass 123456
-
将用戶端證書導入到伺服器證書庫(使得伺服器信任用戶端證書)
keytool -import -v -alias client -file E:\ssl\client.cer -keystore E:\ssl\server.keystore -storepass 123456
6.檢視證書庫中的全部證書
- keytool -list -keystore E:\ssl\server.keystore -storepass 123456
7.配置伺服器
- 修改server.xml檔案
備注: - keystoreFile:指定伺服器密鑰庫,可以配置成絕對路徑,如“D:/key/server.keystore”,本例中是在Tomcat目錄中建立了一個名- 稱為key的檔案夾,僅供參考。 - keystorePass:密鑰庫生成時的密碼 - truststoreFile:受信任密鑰庫,和密鑰庫相同即可 - truststorePass:受信任密鑰庫密碼
8.用Portecle工具,運作protecle.jar将client.jks和truststore.jks分别轉換成client.bks和truststore.bks,然後放到android用戶端的assert目錄下
- 運作protecle.jar--》打開檔案選中client.jks,選擇tools-->change keystore type-->選擇BKS,最後關閉儲存為client.bks
9.讀取client.bks,進行網絡請求
- 通過上面的步驟生成的證書,用戶端需要用到的是client.bks(用戶端密鑰,用于請求的時候給伺服器來驗證身份之用)和truststore.bks(用戶端證書庫,用于驗證伺服器端身份,防止釣魚)這兩個檔案.其中安卓端的證書類型必須要求是BKS類型
10.下面給出SSLContext方式進行SSL認證的用戶端代碼
[html] view plain copy
- try {
- // 伺服器端需要驗證的用戶端證書,其實就是用戶端的keystore
- KeyStore keyStore = KeyStore.getInstance("BKS");
- // 用戶端信任的伺服器端證書
- KeyStore trustStore = KeyStore.getInstance("BKS");
- //讀驗證書
- InputStream ksIn = getResources().getAssets().open("client.bks");
- InputStream tsIn = getResources().getAssets().open("truststore.bks");
- //加載證書
- keyStore.load(ksIn,"123456".toCharArray());
- trustStore.load(tsIn,"123456".toCharArray());
- IOUtils.close(ksIn);
- IOUtils.close(tsIn);
- //初始化SSLContext
- SSLContext sslContext = SSLContext.getInstance("TLS");
- TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("X509");
- KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X509");
- trustManagerFactory.init(trustStore);
- keyManagerFactory.init(keyStore, "123456".toCharArray());
- sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);
- //通過HttpsURLConnection設定連結
- SSLSocketFactory socketFactory = sslContext.getSocketFactory();
- HttpsURLConnection.setDefaultSSLSocketFactory(socketFactory);
- URL connectUrl = new URL(url);
- HttpsURLConnection conn = (HttpsURLConnection) connectUrl.openConnection();
- //設定ip授權認證:如果已經安裝該證書,可以不設定,否則需要設定
- conn.setHostnameVerifier(new HostnameVerifier() {
- @Override
- public boolean verify(String hostname, SSLSession session) {
- return true;
- }
- });
- InputStream inputStream = conn.getInputStream();
- String content = getString(inputStream);
- IOUtils.close(inputStream);
- showLog(content);
- } catch (Exception e) {
- e.printStackTrace();
- }
另外一種方法
- 在上面的基礎上,修改第五步,将服務端的證書導入用戶端的keystore中,然後在用戶端隻用一個keystore就額可以
- 同樣需要加載信任管理器和KeyManagerFactory,加載同一個keystore即可,這個已經驗證通過,如有不妥之處,請提出探讨。
//讀驗證書,這裡可以隻講服務端的證書導入到用戶端的keystore中,然後隻要讀取一個就可以 //請求伺服器時,将用戶端的證書發給伺服器驗證,伺服器中的keystore已經導入了用戶端的證書,是以可以驗證 //伺服器驗證通過,然後伺服器将用戶端的證書發給用戶端驗證,同樣驗證成功才發送其他資料。 //這裡clientkeystore包含用戶端的keystore和服務端的證書,用戶端的keystore中包含自己的證書。 InputStream ksIn = getResources().getAssets().open("clientkeystore.bks"); InputStream tsIn = getResources().getAssets().open("clientkeystore.bks");
![Java小案例——随機數猜測随機數猜測[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)