Android HTTPS认证

1、概述

因为最近公司的项目需求涉及到HTTPS双向认证和服务器进行交互，所以最近花了大量时间研究相关知识，发现网上并没有完善的相关文章，自己在这个过程中也走了好多弯路，所以决定写篇文章记录自己学到的东西，同时也希望能够帮到需要的人。

2、HTTPS相关介绍

HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

HTTPS和HTTP的区别

• https协议需要到ca申请证书，一般免费证书很少，需要交费。

• http是超文本传输协议，信息是明文传输；https 则是具有安全性的ssl加密传输协议。

• http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

• http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

HTTPS的作用

它的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。

• 一般意义上的https，就是服务器有一个证书。主要目的是保证服务器就是他声称的服务器，这个跟第一点一样；服务端和客户端之间的所有通讯，都是加密的。

• 具体讲，是客户端产生一个对称的密钥，通过服务器的证书来交换密钥，即一般意义上的握手过程。

• 接下来所有的信息往来就都是加密的。第三方即使截获，也没有任何意义，因为他没有密钥，当然篡改也就没有什么意义了。

• 少许对客户端有要求的情况下，会要求客户端也必须有一个证书。

这里客户端证书，其实就类似表示个人信息的时候，除了用户名/密码，还有一个CA 认证过的身份。因为个人证书一般来说是别人无法模拟的，所有这样能够更深的确认自己的身份。目前少数个人银行的专业版是这种做法，具体证书可能是拿U盘（即U盾）作为一个备份的载体。

3、keytool生成证书

在公司的项目中证书是自己生成的，这里我们使用的是JDK自带的工具keytool来生成的，它的位置为JAVA_HOME\bin\keytool.exe。 
在配置了JDK环境的电脑上都可以直接使用。

keytool命令介绍

keytool中有许多命令，在生成自己证书的时候会用到相关命令，所以需要对命令进行简单介绍

• -alias 产生别名

• -keystore 指定密钥库的名称(就像数据库一样的证书库，可以有很多个证书，cacerts这个文件是jre自带的，你也可以使用其它文件名字，如果没有这个文件名字，它会创建这样一个)

• -storepass 指定密钥库的密码

• -keypass 指定别名条目的密码

• -list 显示密钥库中的证书信息

• -v 显示密钥库中的证书详细信息

• -export 将别名指定的证书导出到文件

• -file 参数指定导出到文件的文件名

• -delete 删除密钥库中某条目

• -import 将已签名数字证书导入密钥库

• -keypasswd 修改密钥库中指定条目口令

• -dname 指定证书拥有者信息

• -keyalg 指定密钥的算法

• -validity 指定创建的证书有效期多少天

• -keysize 指定密钥长度

下面通过创建证书来熟悉keytool命令

• 生成服务端证书库 
  keytool -genkey -alias zhxu_server -keyalg RSA -keystore zhxu_server.jks -validity 3600 -storepass 123456 -ext san=ip:192.168.56.1

注意-ext san=ip:**此处内容为要访问地址的IP，必须填写，名字与姓氏也要填写IP，否则访问时报错，确定完成后，生成的证书默认在C:\Users\用户名 路径下。

• 生成客户端证书库

  keytool -genkey -alias zhxu_client -keyalg RSA -keystore zhxu_client.jks -validity 3600 -storepass 123456

配置和上述配置一样

完成后上述步骤后就可以看到对应路径下的.jks文件了，下面就是签名证书然后让证书库信任证书。

• 导出客户端证书

  keytool -exportcert -alias zhxu_client -keystore zhxu_client.jks -file zhxu_client.cer -storepass 123456

• 让服务器证书库信任客户端证书

  keytool -import -alias zhxu_client -file zhxu_client.cer -keystore zhxu_server.jks -storepass 123456

• 导出服务端证书

  keytool -exportcert -alias zhxu_server -keystore zhxu_server.jks -file server.cer -storepass 123456

• 让服务器证书库信任客户端证书

  keytool -import -alias zhxu_server -file server.cer -storepass 123456 -keystore zhxu_client.jks

完成后上述6个步骤后就可以在对应路径下生成我们需要的四个文件了。

我们需要访问的是服务器，所以接下来我们需要配置我们的tomcat服务器了。

4、配置tomcat服务器

找到conf目录下的server.xml服务器的配置文件，打开添加如下标签

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"           maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS"           keystoreFile="D:/zhxu_server.jks" keystorePass="123456"           truststoreFile="D:/zhxu_client.jks" truststorePass="123456"/>

打开浏览器输入https://本机IP:8443/ 就会出现 基于证书的验证失败 提示，这就说明证书生成添加没有错误，接下来我们需要在客户端进行访问了。

5、客户端访问

关键代码如下

public SSLSocketFactory setCertificates(InputStream... certificates){    try{        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");        KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());        keyStore.load(null);        int index = 0;        for (InputStream certificate : certificates){            String certificateAlias = Integer.toString(index++);            keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate));            try{                if (certificate != null)                    certificate.close();            } catch (IOException e){                e.printStackTrace() ;            }        }        //取得SSL的SSLContext实例        SSLContext sslContext = SSLContext.getInstance("TLS");        TrustManagerFactory trustManagerFactory = TrustManagerFactory.                getInstance(TrustManagerFactory.getDefaultAlgorithm());        trustManagerFactory.init(keyStore);        //初始化keystore        KeyStore clientKeyStore = KeyStore.getInstance(KeyStore.getDefaultType());        clientKeyStore.load(getAssets().open("zhxu_client.jks"), "123456".toCharArray());        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());        keyManagerFactory.init(clientKeyStore, "123456".toCharArray());        sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());        return sslContext.getSocketFactory() ;    } catch (Exception e){        e.printStackTrace();    }    return null ;}

但是此时运行会报java.io.IOException: Wrong version of key store错误。

为什么呢？

因为jks证书是Java平台的，Android平台识别不了，Android平台识别的是bks格式的证书。

所以接下来就需要将jks的证书转换成bks的证书了。

通过protecle将jks证书转化成bks证书，具体使用方法比较简单，自行百度即可。

转换完成后将bks证书放到assets文件中

/初始化keystoreKeyStore clientKeyStore = KeyStore.getInstance("BKS");clientKeyStore.load(getAssets().open("zhxu_client.bks"), "123456".toCharArray());KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());keyManagerFactory.init(clientKeyStore, "123456".toCharArray());sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());return sslContext.getSocketFactory() ;

对应代码部分修改成上述代码即可。

连接服务器部分代码如下

/** * 通过HTTPS访问 */private void runHttpsRequestWithHttpsURLConnection(){    AsyncTask<String, Void, String> testTask = new AsyncTask<String, Void, String>() {        @Override        protected String doInBackground(String... params) {            String result = "";            HttpsURLConnection conn = null;            try {                URL url = new URL(HTTPS_URL);                conn = (HttpsURLConnection) url.openConnection();                conn.setSSLSocketFactory(setCertificates(MainActivity.this.getAssets().open("server.cer")));                conn.connect();                result = getStreamString(conn.getInputStream());                return result;            } catch (Exception e){                e.printStackTrace();            }            return null;        }        @Override        protected void onPostExecute(String result) {            super.onPostExecute(result);            System.out.println("result:"+result);        }    };    testTask.execute();}

如果一切配置完成就可以正确的连接服务器获取数据了。

项目地址 https://github.com/studyzhxu/HttpsDemo

6、总结

本人也是因为公司项目需要才研究这个相关内容的，这篇博客相当于这段时间的学习总结吧。希望能够帮到有需要的朋友。