關(guān)于https加密:
https是在http的基礎(chǔ)上多了一次協(xié)議ssl道批,該協(xié)議用來(lái)給傳輸?shù)膬?nèi)容進(jìn)行加密
https加密流程:
1,客戶端將SSL 協(xié)議的版本號(hào)、加密算法的種類映穗,產(chǎn)生的隨機(jī)數(shù)A等信息傳給服務(wù)器
2,服務(wù)器選擇其中的一種組合作為加密方式幕随,同時(shí)將自己的證書(shū)蚁滋、公鑰、另外一個(gè)隨機(jī)數(shù)B一起傳給客戶端
3赘淮,客戶端驗(yàn)證客戶端返回的信息(包括證書(shū)辕录,簽名,域名等)拥知,驗(yàn)證成功踏拜,則生成對(duì)稱加密密鑰S,用公鑰加密后返回給服務(wù)器
4低剔,服務(wù)器用私鑰將這段密鑰解密速梗。得到對(duì)稱密鑰S,并用此密鑰加密一段握手消息返回給客戶端
5襟齿,客戶端收到握手消息姻锁,用對(duì)稱密鑰解密,驗(yàn)證成功猜欺,則握手成功位隶。
單向加密和雙向加密:
單向加密:服務(wù)端有一套(兩份)證書(shū):含公鑰和私鑰的jks文件(此文件自己保留),和只含公鑰的ser文件开皿,其中ser文件是要給客戶端的
雙向加密:除了具有單向加密的特性(服務(wù)端驗(yàn)證客戶端)涧黄,客戶端也有一套(兩份)證書(shū)來(lái)驗(yàn)證服務(wù)端消息,對(duì)于android來(lái)說(shuō)赋荆,分為bks文件(含公鑰和私鑰笋妥,自己保留)、ser文件(含公鑰給服務(wù)端)
關(guān)系:
1窄潭,服務(wù)端生成jks文件春宣,并導(dǎo)出只含公鑰的ser文件給服務(wù)端
2,客戶端用ser文件生成自己的bks文件,用來(lái)驗(yàn)證服務(wù)端的消息
3月帝,客戶端自己生成pfx文件躏惋,并導(dǎo)出只含公鑰的ser文件給服務(wù)端
4,服務(wù)端用客戶端的ser文件進(jìn)行驗(yàn)證來(lái)自客戶端的消息
用到的概念和變量:
keytool-- 用來(lái)生成證書(shū)的嚷辅,jks簿姨、bks、cer簸搞、pfx等
keystore-- 用來(lái)儲(chǔ)存證書(shū)的款熬,初始化時(shí)傳入證書(shū)類型,keystor的初始化:
keystore.load(inputStream, passWord);或keystore.load(null),keystroe.setCertificateEntry(alias,certificate);
certificateFactory-- 證書(shū)工廠,通常通過(guò)傳入?yún)?shù)(X509)生成攘乒,用來(lái)讀取本地的證書(shū)數(shù)據(jù)流贤牛,并生成相應(yīng)的證書(shū)
SSLSocketFactory--非常重要,是所有框架和網(wǎng)絡(luò)請(qǐng)求從http轉(zhuǎn)https的關(guān)鍵所在则酝,例如:okhttp:直接執(zhí)行okhttp.setSslSocketFacotry(),
volley:new RequestQueue(new DiskBasedCache(),new BasicNetwork(new HurlStack(null, sslSocketFactory)));
SSLContext--用來(lái)得到sslSocketFactory sslContext.getSocketFactory();自身生成方式:SSLContext.getInstance("TLS");
keyManager[] trustManager[] --用來(lái)初始化sslContext:sslContext.init(keyManager[], trustManger[], new SecureRandom()),其中殉簸,忽略證書(shū)驗(yàn)證二者皆可為null,單向認(rèn)證只要trustManger[],雙向認(rèn)證二者都要沽讹,new SecureRandom()可以為null;
(如果alias不為空般卑,需要通過(guò)new KeyManager())
KeyManagerFactory TrustManagerFactory-- 用來(lái)生成keyManager[]和trustManager[],自己通過(guò)KeyStore.getInstance(type) 生成,通過(guò)keystore變量初始化:keyManagerFactory.init(keystore,password);其中爽雄,type是bks等蝠检,默認(rèn)getDefaultType()是jks;
附:
Windows IIS下的數(shù)字證書(shū)格式一般為挚瘟。pfx
Java tomcat 下的數(shù)字證書(shū)格式一般為.jks或.store
Apache和nginx一般是.pem
證書(shū)請(qǐng)求文件一般是.csr
證書(shū)公鑰文件一般是.cer或.crt
證書(shū)私鑰文件一般是.key
服務(wù)器提供的cer證書(shū)中包含公鑰叹谁,而android的keystore中需要bks格式的信任證書(shū),轉(zhuǎn)換方法如下:
轉(zhuǎn)換命令說(shuō)明:
keytool -importcert -v -trustcacerts -alias 位置1
-file 位置2
-keystore 位置3 -storetype BKS
-providerclass org.bouncycastle.jce.provider.BouncyCastleProvider
-providerpath 位置4 -storepass 位置5
位置1:是個(gè)隨便取的別名
位置2:cer或crt證書(shū)的全地址
位置3:生成后bks文件的位置,建議寫(xiě)全地址
位置4:上面下載JCE Provider包的位置
位置5:生成后證書(shū)的密碼
轉(zhuǎn)換完整示例
keytool -importcert -v -trustcacerts -alias my12306 -file C:\Users\Administrator\Desktop\證書(shū)\srca.cer -keystore C:\Users\Administrator\Desktop\證書(shū)\srca.bks -storetype BKS -providerclass org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath C:\Users\Administrator\Desktop\證書(shū)\bcprov-jdk15on-146.jar -storepass 123456
生成trustKeyStore后乘盖,將bks證書(shū)通過(guò)流的方式讀取出來(lái)焰檩,并初始化trustKeyStore,用這個(gè)keysore初始化trustMangerFactory并生成相應(yīng)的trustManager订框。