android平台ssl单双向验证

最新推荐文章于 2024-02-26 20:00:00 发布
最新推荐文章于 2024-02-26 20:00:00 发布
阅读量2.2w 收藏 41
点赞数 2
分类专栏: JAVA android开发 文章标签: Android SSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hfeng101/article/details/10163627
版权

最近做android平台ssl通信研究,被坑了好些,最后历经磨难,终于搞定它了,得到的结论:实践才是检验坑有多深的最佳途径!!

看网上的中文资料,提到android ssl通信的也有,但都是零零碎碎,提到双向的实现更少,国外有些资料还可以,推荐stackoverflow,里面有不少探讨android ssl的好帖子,不过是英文的,这个(~~!)就不解释了!

话不多说,开始了。


环境:

服务器:apache服务器,openssl。

客户端:PC、java平台、android平台。

思路:

1、先搞定ssl单向验证,再解决双向。

2、先PC,再java平台,再android,不一定非得这样,自由选择,个人是为了弄清整个流程,多走了些路。

过程步骤:

1、在pc上用apache搭建了一个http服务器,用openssl建立自签名的CA证书ca.crt,签发服务器证书server.crt,签发客户端证书client.crt。(apache+openssl配置ssl通信网上资料很多)

2、安装ca.crt,配置服务器,开启单向验证,用浏览器测试验证单向ssl通信。

3、将client.crt和client.key打包生成pkcs12格式的client.pfx文件。

4、配置服务器,开启双向验证,通过浏览器导入client.pfx文件,测试验证双向ssl通信。


重点:

Java平台默认识别jks格式的证书文件,但是android平台只识别bks格式的证书文件,需要在java中配置BC库,个人推荐参考:http://hi.baidu.com/yaming/item/980f253e17f585be124b142d,配置好BC库,看看有没有keytool工具,没有自己弄个,这个网上资料多。


代码参考:http://momoch1314.iteye.com/blog/540613,由于服务端有apache,上面的代码就不用了,此处列出客户端,此文中是通过socket通信的,建议改成https通信,效果会更好,因为和apache服务器打交道,处理起来会更方便。(里面有些东西需要微调的,希望各位自己改一下,对于某些人来说,可能会有些坑,有疑问,请留言,本屌尽力解答)

  1. public class MySSLSocket extends Activity {  
  2.     private static final int SERVER_PORT = 50030;//端口号  
  3.     private static final String SERVER_IP = "218.206.176.146";//连接IP  
  4.     private static final String CLIENT_KET_PASSWORD = "123456";//私钥密码  
  5.     private static final String CLIENT_TRUST_PASSWORD = "123456";//信任证书密码  
  6.     private static final String CLIENT_AGREEMENT = "TLS";//使用协议  
  7.     private static final String CLIENT_KEY_MANAGER = "X509";//密钥管理器  
  8.     private static final String CLIENT_TRUST_MANAGER = "X509";//  
  9.     private static final String CLIENT_KEY_KEYSTORE = "BKS";//密库,这里用的是BouncyCastle密库  
  10.     private static final String CLIENT_TRUST_KEYSTORE = "BKS";//  
  11.     private static final String ENCONDING = "utf-8";//字符集  
  12.     private SSLSocket Client_sslSocket;  
  13.     private Log tag;  
  14.     private TextView tv;  
  15.     private Button btn;  
  16.     private Button btn2;  
  17.     private Button btn3;  
  18.     private EditText et;  
  19.       
  20.     /** Called when the activity is first created. */  
  21.     @Override  
  22.     public void onCreate(Bundle savedInstanceState) {  
  23.         super.onCreate(savedInstanceState);  
  24.         setContentView(R.layout.main);  
  25.         tv = (TextView) findViewById(R.id.TextView01);  
  26.         et = (EditText) findViewById(R.id.EditText01);  
  27.         btn = (Button) findViewById(R.id.Button01);  
  28.         btn2 = (Button) findViewById(R.id.Button02);  
  29.         btn3 = (Button) findViewById(R.id.Button03);  
  30.           
  31.         btn.setOnClickListener(new Button.OnClickListener(){  
  32.             @Override  
  33.             public void onClick(View arg0) {  
  34.                 if(null != Client_sslSocket){  
  35.                     getOut(Client_sslSocket, et.getText().toString());  
  36.                     getIn(Client_sslSocket);  
  37.                     et.setText("");  
  38.                 }  
  39.             }  
  40.         });  
  41.         btn2.setOnClickListener(new Button.OnClickListener(){  
  42.             @Override  
  43.             public void onClick(View arg0) {  
  44.                 try {  
  45.                     Client_sslSocket.close();  
  46.                     Client_sslSocket = null;  
  47.                 } catch (IOException e) {  
  48.                     e.printStackTrace();  
  49.                 }  
  50.             }  
  51.         });  
  52.         btn3.setOnClickListener(new View.OnClickListener(){  
  53.             @Override  
  54.             public void onClick(View arg0) {  
  55.                 init();  
  56.                 getIn(Client_sslSocket);  
  57.             }  
  58.         });  
  59.     }  
  60.       
  61.     public void init() {  
  62.         try {  
  63.             //取得SSL的SSLContext实例  
  64.             SSLContext sslContext = SSLContext.getInstance(CLIENT_AGREEMENT);  
  65.             //取得KeyManagerFactory和TrustManagerFactory的X509密钥管理器实例  
  66.             KeyManagerFactory keyManager = KeyManagerFactory.getInstance(CLIENT_KEY_MANAGER);  
  67.             TrustManagerFactory trustManager = TrustManagerFactory.getInstance(CLIENT_TRUST_MANAGER);  
  68.             //取得BKS密库实例  
  69.             KeyStore kks= KeyStore.getInstance(CLIENT_KEY_KEYSTORE);  
  70.             KeyStore tks = KeyStore.getInstance(CLIENT_TRUST_KEYSTORE);  
  71.             //加客户端载证书和私钥,通过读取资源文件的方式读取密钥和信任证书  
  72.             kks.load(getBaseContext()  
  73.                     .getResources()  
  74.                     .openRawResource(R.drawable.kclient),CLIENT_KET_PASSWORD.toCharArray());  
  75.             tks.load(getBaseContext()  
  76.                     .getResources()  
  77.                     .openRawResource(R.drawable.lt_client),CLIENT_TRUST_PASSWORD.toCharArray());  
  78.             //初始化密钥管理器  
  79.             keyManager.init(kks,CLIENT_KET_PASSWORD.toCharArray());  
  80.             trustManager.init(tks);  
  81.             //初始化SSLContext  
  82.             sslContext.init(keyManager.getKeyManagers(),trustManager.getTrustManagers(),null);  
  83.             //生成SSLSocket  
  84.             Client_sslSocket = (SSLSocket) sslContext.getSocketFactory().createSocket(SERVER_IP,SERVER_PORT);  
  85.         } catch (Exception e) {  
  86.             tag.e("MySSLSocket",e.getMessage());  
  87.         }  
  88.     }  
  89.           
  90.     public void getOut(SSLSocket socket,String message){  
  91.         PrintWriter out;  
  92.         try {  
  93.             out = new PrintWriter(  
  94.                     new BufferedWriter(  
  95.                             new OutputStreamWriter(  
  96.                                     socket.getOutputStream()  
  97.                                     )  
  98.                             ),true);  
  99.             out.println(message);  
  100.         } catch (IOException e) {  
  101.             e.printStackTrace();  
  102.         }  
  103.     }  
  104.       
  105.     public void getIn(SSLSocket socket){  
  106.         BufferedReader in = null;  
  107.         String str = null;  
  108.         try {  
  109.             in = new BufferedReader(  
  110.                     new InputStreamReader(  
  111.                             socket.getInputStream()));  
  112.             str = new String(in.readLine().getBytes(),ENCONDING);  
  113.         } catch (UnsupportedEncodingException e) {  
  114.             e.printStackTrace();  
  115.         } catch (IOException e) {  
  116.             e.printStackTrace();  
  117.         }  
  118.         new AlertDialog  
  119.         .Builder(MySSLSocket.this)  
  120.         .setTitle("服务器消息")  
  121.         .setNegativeButton("确定"null)  
  122.         .setIcon(android.R.drawable.ic_menu_agenda)  
  123.         .setMessage(str)  
  124.         .show();  
  125.     }  
  126. }  


单向:

1、用keytool将ca.crt导入到bks格式的证书库ca.bks,用于验证服务器的证书,命令如下:

keytool -import -alias ca -file ca.crt -keystore ca.bks -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider

2、服务器配置成单向验证,将ca.bks放到android工程的assets或raw下,对应的读取就是代码中的

  1. kks.load(getBaseContext()  
  2.                     .getResources()  
  3.                     .openRawResource(R.drawable.kclient),CLIENT_KET_PASSWORD.toCharArray()); 

不一定是R.drawable.kclient,自己根据实际做修改,读取文件,不懂网上查,不啰嗦了。

至此,单向ssl通信应该是OK了。

(PS: 针对2中的操作不一定非得这么做,也可以把ca.bks导入到android平台下的cacerts.bks文件中,然后从这个文件读取认证,怎么导入,网上资料很多,如:http://blog.csdn.net/haijun286972766/article/details/6247675


调试中遇到的问题,提一下:

一般在模拟器中能通过,在真实平台上就没问题了。

个人遇到一个最蛋疼的问题是模拟器上通过了,但真实平台就是报错,卡了好几天,查了好多资料没查到,网上也有类似的提问,但没有靠谱的解答,最后硬着头皮终于查出来是真实平台的时间不对,2007年,不在证书的有效期内,就一个感受:坑!!


++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

双向:

双向在单向的基础上实现,不过要先生成android平台能识别的客户端证书,这个玩意也伤脑筋,网上提到生成bks格式客户端证书的资料很少,鲜有借鉴之用。

在这个点上,太伤脑筋了,估计很多伙计也在这儿卡得蛋疼,一开始是毫无头绪,在PC、JAVA平台上生成客户端证书,都能测通,但是转到android平台就傻眼了,用keytool将其它工具生成的crt证书,导成bks格式,不通;用keytool工具新生成bks格式证书,也不通;

各种能想的方法试尽,一度怀疑自己是不是哪个细节出错了,理论上肯定能做的东西,怎么看不到一点可实现性,找资料连续几天,一点进展都没。

后面看国外的资料上提到先用openssl生成pkcs12的.pfx格式证书,然后用工具portecle转换成BKS格式,在android平台上使用,一开始是直接强制性转换,出错,怎么转都转不成功,但是转换成jks格式又没问题,只能根据提示错误,找解决方案,试了好多还是不行,又迷茫了;

1、最后看到国外的资料上的一句话,顿悟灵光,用portecle工具,先建立一个bks格式的keystore,然后将client.pfx中的key pair导入(import key pair),再保存bks文件,测试成功,事实证明:二了一点。

PS:用portecle直接转应该是可以的,只是我一直没转成功过,可能是我的java环境有问题,老提示illegal key size。

2、将服务器配置成双向验证,将ca.bks放到android工程的assets或raw下,对应的读取就是代码中的

  1. tks.load(getBaseContext()  
  2.                     .getResources()  
  3.                     .openRawResource(R.drawable.lt_client),CLIENT_TRUST_PASSWORD.toCharArray());
至此,问题基本搞定,不过个人还有个心瘤,理论上用keytool生成bks格式的证书再使用,但是个人各种方法试尽,仍旧没有结果,网上也没找到资料,原谅我的无能,如果有能实现的,麻烦分享一下,感激不尽!!!


太晚了,洗洗睡鸟,写得有点糙,如有疑问:留言解答!!


hfeng101
关注
  • 2
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 16
    评论
专栏目录
Android TLS1.2双向认证demo
08-15
Android客户端与PC服务端进行双向认证,基于TLS1.2安全协议,完成双向认证。
android黑科技系列——Wireshark和Fiddler分析Android中的TLS协议包数据(附带案例样本)...
weixin_30617695的博客
11-11 245
一、前言 在之前一篇文章已经介绍了一款网络访问软件的破解教程,当时采用的突破口是应用程序本身的一个漏洞,就是没有关闭日志信息,我们通过抓取日志获取到关键信息来找到突破口进行破解的。那篇文章也说到了,如果这个app应用没有日志信息,我们该怎么办呢?那么这时候就需要采用抓包来寻找突破口了。 二、安装Fiddler证书 我们通过Fiddler连接手机进行抓包查看,应用访问数据信息都是用的...
chromium for android 命令行文件/data/local/tmp/chrome-command-line
weixin_33782386的博客
06-27 636
chromium for android 命令行文件/data/local/tmp/chrome-command-line 代码位置:src\chrome\android\java\src\org\chromium\chrome\browser\ChromeApplication.java 注意:chrome-command-line文件必须以一个下划线开始,例如_ --v=1 --enabl...
ssl证书验证绕过抓包
最新发布
qq_63980959的博客
02-26 899
在实际环境中,可能会遇到抓不到包的情况,有可能是因为app有双向ssl证书验证机制,导致无法抓包,那么便需要一些操作来绕过该验证机制。
SSLKEYLOGFILE 配置
weixin_35756637的博客
01-14 1228
SSLKEYLOGFILE 是一个用于记录 SSL/TLS 会话中使用的密钥的文件。它主要用于调试和分析 SSL/TLS 协议。当启用了 SSLKEYLOGFILE 配置,系统会将所有 SSL/TLS 会话中使用的密钥记录到指定的文件中。这些密钥可以用来解密 SSL/TLS 流量,便于分析和调试。 要使用 SSLKEYLOGFILE,需要在环境变量或程序配置中设置 SSLKEYLOGFILE 变量...
安卓手机抓包方法归纳总结
热门推荐
雪诺秋的博客
07-17 3万+
安卓手机抓包方法归纳总结 最近需要对安卓应用发出的网络数据进行抓包分析,除了常见的HTTP还包括MQTT协议。 本文总结归纳了。手机端抓包的各种方法和思路 0x01 wireshark方案 在PC端抓过包的人一定不会对Wireshark感到陌生,该软件可以直接抓取流经网络适配器(网卡)的所有数据包,意味着局域网内其它主机发出的数据包也可以截获(这种模式叫作混杂模式)。此外该软件能够解析下至数据链路...
微信域名检测的C#实现
diejiu2046的博客
03-07 367
背景:最近公司的公众号域名被封了,原因是公司网站被黑后上传了一个不符合微信规范的网页。所以。。。就进入了微信域名解封的流程。 百度微信域名解封发现很多微信域名检测的网站,还有Api;但是本人做微信公众号的时候却没有发现微信公众号有这个API,奇怪了,这帮牛人是怎么实现的呢?做为一个技术宅男八卦之火真是熊熊燃气。 第一步、重新检查微信服务号的API。结果大家知道的,无果。 网上有人说域名...
android HTTPS双向认证
Froeverlove的博客
12-08 1794
近期项目中遇到需要对HTTPS进行双向认证,整理下可以实现的两种方式。
解密https流量
weixin_43485076的博客
08-19 4190
一些解密https流量的总结
意外发现的Android硬核https抓包, 在多个app亲测ok, 自定义ssl也无用哦~
u014139511的博客
09-13 543
需要在在安卓8.0, frida版本12.8.0, 其他版本没测试过, 如果遇到错误, 就跟我一样。选择到tls 后将之前的sslkey.txt导入下。再使用下前面的过滤命令, 正常情况下, 现在就能正常看到了。将/sdcard/Download/capture.pcap pull 到pc。设置完这个, 就也和我一样能看到教学图了, 一下子友好很多。编辑--> 首选项--> Protocols--> TLS。编辑-->首选项-->外观-->布局。---2021-4-21更新。
OpenssLSSLKEYLOGFILE随机密码
小着子的博客
11-19 2200
1、 常用的是向认证: 客户端使用公钥解密(实际是使用公钥解密随机密码,即SSLKEYLOGFILE的值)。服务器使用私钥加密(实际是使用私钥加密随机密码,即SSLKEYLOGFILE的值)。 2、 第一阶段: 验证身份,去CA验证证书 服务器配置证书和私钥。 客户端访问服务器时候, 会下载到证书。 然后客户端是从证书里面获取公钥的。 —》 原因是: 有时候访问不信任证书的网站,例如一些私有网站或者内网网站, 点击继续就是可以仍然访问的。 这个过程如果是先要去CA验证证书,但CA...
android访问自签CA的Https SSL双向认证(j2SE也能使用)
08-03
NULL 博文链接:https://xuliduo.iteye.com/blog/2001301
android ssl证书验证
11-15
android ssl证书验证
nginx配置ssl双向验证的方法
09-30
主要介绍了nginx配置ssl双向验证的方法,需要的朋友可以参考下
android 使用HttpsURLConnection方式的SSL双向认证
12-08
本demo使用HttpsURLConnection方式的SSL双向认证,实现oauth2.0客户端请求方式,并且实现了普通post接口请求,及多图上传的post请求接口,做了网络请求的封装。
tomcat android 双向ssl通信
08-07
呕心沥血,实践出真知,tomcat的ssl配置,实现双向通信。
Android SSL证书验证原理
08-25
Android SSL验证原理
FIFO和Binder读取数据效率测试对比结果
05-10 2229
最近应领导蛋疼的需求对binder和fifo做一次测试cf
android 忽略ssl
06-08
Android 中忽略 SSL 验证可以使用 TrustManager 来实现。以下是一个简的实现示例: ```java TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { @Override public void ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值