首頁 > 開發者 > Android

Android平台實現SSL單雙向驗證

來源:互聯網
上載者:User
創建阿里雲帳戶,並獲得超過 40 款產品的免費試用版;而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊!

Android平台實現SSL單雙向驗證

環境:伺服器:apache伺服器,openssl。

用戶端:PC、java平台、android平台。

思路:

1、先搞定ssl單向驗證,再解決雙向。

2、先PC,再java平台,再android,不一定非得這樣,自由選擇,個人是為了弄清整個流程,多走了些路。

過程步驟:

1、在pc上用apache搭建了一個http伺服器,用openssl建立自簽名的CA認證ca.crt,簽發伺服器憑證server.crt,簽發用戶端認證client.crt。(apache+openssl配置ssl通訊網上資料很多)

2、安裝ca.crt,設定管理員,開啟單向驗證,用瀏覽器測實驗證單向ssl通訊。

3、將client.crt和client.key打包產生pkcs12格式的client.pfx檔案。

4、設定管理員,開啟雙向驗證,通過瀏覽器匯入client.pfx檔案,測實驗證雙向ssl通訊。


重點:

Java平台預設識別jks格式的認證檔案,但是android平台只識別bks格式的認證檔案,需要在java中配置BC庫,個人推薦參考:http://hi.baidu.com/yaming/item/980f253e17f585be124b142d,配置好BC庫,看看有沒有keytool工具,沒有自己弄個Keytool工具

代碼參考:http://momoch1314.iteye.com/blog/540613,由於服務端有apache,上面的代碼就不用了,此處列出用戶端,此文中是通過socket通訊的,建議改成https通訊,效果會更好,因為和apache伺服器打交道,處理起來會更方便。(裡面有些東西需要微調的,希望各位自己改一下,對於某些人來說,可能會有些坑,有疑問,請留言,本屌儘力解答)

  1. public class MySSLSocket extends Activity {
  2. private static final int SERVER_PORT = 50030;//連接埠號碼
  3. private static final String SERVER_IP = "218.206.176.146";//串連IP
  4. private static final String CLIENT_KET_PASSWORD = "123456";//私密金鑰密碼
  5. private static final String CLIENT_TRUST_PASSWORD = "123456";//信任認證密碼
  6. private static final String CLIENT_AGREEMENT = "TLS";//使用協議
  7. private static final String CLIENT_KEY_MANAGER = "X509";//密鑰管理器
  8. private static final String CLIENT_TRUST_MANAGER = "X509";//
  9. private static final String CLIENT_KEY_KEYSTORE = "BKS";//密庫,這裡用的是BouncyCastle密庫
  10. private static final String CLIENT_TRUST_KEYSTORE = "BKS";//
  11. private static final String ENCONDING = "utf-8";//字元集
  12. private SSLSocket Client_sslSocket;
  13. private Log tag;
  14. private TextView tv;
  15. private Button btn;
  16. private Button btn2;
  17. private Button btn3;
  18. private EditText et;
  20. /** Called when the activity is first created. */
  21. @Override
  22. public void onCreate(Bundle savedInstanceState) {
  23. super.onCreate(savedInstanceState);
  24. setContentView(R.layout.main);
  25. tv = (TextView) findViewById(R.id.TextView01);
  26. et = (EditText) findViewById(R.id.EditText01);
  27. btn = (Button) findViewById(R.id.Button01);
  28. btn2 = (Button) findViewById(R.id.Button02);
  29. btn3 = (Button) findViewById(R.id.Button03);
  31. btn.setOnClickListener(new Button.OnClickListener(){
  32. @Override
  33. public void onClick(View arg0) {
  34. if(null != Client_sslSocket){
  35. getOut(Client_sslSocket, et.getText().toString());
  36. getIn(Client_sslSocket);
  37. et.setText("");
  38. }
  39. }
  40. });
  41. btn2.setOnClickListener(new Button.OnClickListener(){
  42. @Override
  43. public void onClick(View arg0) {
  44. try {
  45. Client_sslSocket.close();
  46. Client_sslSocket = null;
  47. } catch (IOException e) {
  48. e.printStackTrace();
  49. }
  50. }
  51. });
  52. btn3.setOnClickListener(new View.OnClickListener(){
  53. @Override
  54. public void onClick(View arg0) {
  55. init();
  56. getIn(Client_sslSocket);
  57. }
  58. });
  59. }
  61. public void init() {
  62. try {
  63. //取得SSL的SSLContext執行個體
  64. SSLContext sslContext = SSLContext.getInstance(CLIENT_AGREEMENT);
  65. //取得KeyManagerFactory和TrustManagerFactory的X509密鑰管理器執行個體
  66. KeyManagerFactory keyManager = KeyManagerFactory.getInstance(CLIENT_KEY_MANAGER);
  67. TrustManagerFactory trustManager = TrustManagerFactory.getInstance(CLIENT_TRUST_MANAGER);
  68. //取得BKS密庫執行個體
  69. KeyStore kks= KeyStore.getInstance(CLIENT_KEY_KEYSTORE);
  70. KeyStore tks = KeyStore.getInstance(CLIENT_TRUST_KEYSTORE);
  71. //加用戶端載認證和私密金鑰,通過讀取資源檔的方式讀取密鑰和信任認證
  72. kks.load(getBaseContext()
  73. .getResources()
  74. .openRawResource(R.drawable.kclient),CLIENT_KET_PASSWORD.toCharArray());
  75. tks.load(getBaseContext()
  76. .getResources()
  77. .openRawResource(R.drawable.lt_client),CLIENT_TRUST_PASSWORD.toCharArray());
  78. //初始化密鑰管理器
  79. keyManager.init(kks,CLIENT_KET_PASSWORD.toCharArray());
  80. trustManager.init(tks);
  81. //初始化SSLContext
  82. sslContext.init(keyManager.getKeyManagers(),trustManager.getTrustManagers(),null);
  83. //產生SSLSocket
  84. Client_sslSocket = (SSLSocket) sslContext.getSocketFactory().createSocket(SERVER_IP,SERVER_PORT);
  85. } catch (Exception e) {
  86. tag.e("MySSLSocket",e.getMessage());
  87. }
  88. }
  90. public void getOut(SSLSocket socket,String message){
  91. PrintWriter out;
  92. try {
  93. out = new PrintWriter(
  94. new BufferedWriter(
  95. new OutputStreamWriter(
  96. socket.getOutputStream()
  97. )
  98. ),true);
  99. out.println(message);
  100. } catch (IOException e) {
  101. e.printStackTrace();
  102. }
  103. }
  105. public void getIn(SSLSocket socket){
  106. BufferedReader in = null;
  107. String str = null;
  108. try {
  109. in = new BufferedReader(
  110. new InputStreamReader(
  111. socket.getInputStream()));
  112. str = new String(in.readLine().getBytes(),ENCONDING);
  113. } catch (UnsupportedEncodingException e) {
  114. e.printStackTrace();
  115. } catch (IOException e) {
  116. e.printStackTrace();
  117. }
  118. new AlertDialog
  119. .Builder(MySSLSocket.this)
  120. .setTitle("伺服器訊息")
  121. .setNegativeButton("確定", null)
  122. .setIcon(android.R.drawable.ic_menu_agenda)
  123. .setMessage(str)
  124. .show();
  125. }
  126. }


    單向:

    1、用keytool將ca.crt匯入到bks格式的認證庫ca.bks,用於驗證伺服器的認證,命令如下:

    keytool -import -alias ca -file ca.crt -keystore ca.bks -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider

    2、伺服器配置成單向驗證,將ca.bks放到android工程的assets或raw下,對應的讀取就是代碼中的

    1. kks.load(getBaseContext()
    2. .getResources()
    3. .openRawResource(R.drawable.kclient),CLIENT_KET_PASSWORD.toCharArray());

      不一定是R.drawable.kclient,自己根據實際做修改,讀取檔案,不懂網上查,不囉嗦了。

      至此,單向ssl通訊應該是OK了。

      (PS: 針對2中的操作不一定非得這麼做,也可以把ca.bks匯入到android平台下的cacerts.bks檔案中,然後從這個檔案讀取認證,怎麼匯入,網上資料很多,如:http://blog.csdn.net/haijun286972766/article/details/6247675


      調試中遇到的問題,提一下:

      一般在模擬器中能通過,在真實平台上就沒問題了。

      這裡需要注意的是認證的有效期間,一定要在認證的有效期間內操作

      雙向:

      雙向在單向的基礎上實現,不過要先產生android平台能識別的用戶端認證,這個玩意也傷腦筋,網上提到產生bks格式用戶端認證的資料很少,鮮有借鑒之用。

      在這個點上,太傷腦筋了,估計很多夥計也在這兒卡得蛋疼,一開始是毫無頭緒,在PC、JAVA平台上產生用戶端認證,都能測通,但是轉到android平台就傻眼了,用keytool將其它工具產生的crt認證,導成bks格式,不通;用keytool工具新產生bks格式認證,也不通;

      各種能想的方法試盡,一度懷疑自己是不是哪個細節出錯了,理論上肯定能做的東西,怎麼看不到一點可實現性,找資料連續幾天,一點進展都沒。

      後面看國外的資料上提到先用openssl產生pkcs12的.pfx格式認證,然後用工具portecle轉換成BKS格式,在android平台上使用,一開始是直接強制性轉換,出錯,怎麼轉都轉不成功,但是轉換成jks格式又沒問題,只能根據提示錯誤,找解決方案,試了好多還是不行,又迷茫了;

      1、最後看到國外的資料上的一句話,頓悟靈光,用portecle工具,先建立一個bks格式的keystore,然後將client.pfx中的key pair匯入(import key pair),再儲存bks檔案,測試成功,事實證明:二了一點。

      PS:用portecle直接轉應該是可以的,只是我一直沒轉成功過,可能是我的java環境有問題,老提示illegal key size。

      2、將伺服器配置成雙向驗證,將ca.bks放到android工程的assets或raw下,對應的讀取就是代碼中的

      1. tks.load(getBaseContext()
      2. .getResources()
      3. .openRawResource(R.drawable.lt_client),CLIENT_TRUST_PASSWORD.toCharArray());

本文章原先以中文撰寫並發佈於 aliyun.com,亦設英文版本,僅作資訊用途。本網站不對文章的準確性,完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴,請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡,一經驗證之後,即會刪除該侵權內容。

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

  • Sales Support

    1 on 1 presale consultation

    Chat Contact Sales

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    Open a Ticket

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

    Learn More