關(guān)于https加密：

https是在http的基礎(chǔ)上多了一次協(xié)議ssl道批，該協(xié)議用來(lái)給傳輸?shù)膬?nèi)容進(jìn)行加密
https加密流程：

1，客戶端將SSL 協(xié)議的版本號(hào)、加密算法的種類映穗，產(chǎn)生的隨機(jī)數(shù)A等信息傳給服務(wù)器

2，服務(wù)器選擇其中的一種組合作為加密方式幕随，同時(shí)將自己的證書(shū)蚁滋、公鑰、另外一個(gè)隨機(jī)數(shù)B一起傳給客戶端

3赘淮，客戶端驗(yàn)證客戶端返回的信息（包括證書(shū)辕录，簽名，域名等）拥知，驗(yàn)證成功踏拜，則生成對(duì)稱加密密鑰S，用公鑰加密后返回給服務(wù)器

4低剔，服務(wù)器用私鑰將這段密鑰解密速梗。得到對(duì)稱密鑰S，并用此密鑰加密一段握手消息返回給客戶端

5襟齿，客戶端收到握手消息姻锁，用對(duì)稱密鑰解密，驗(yàn)證成功猜欺，則握手成功位隶。

單向加密和雙向加密：

單向加密：服務(wù)端有一套（兩份）證書(shū)：含公鑰和私鑰的jks文件（此文件自己保留），和只含公鑰的ser文件开皿，其中ser文件是要給客戶端的

雙向加密：除了具有單向加密的特性（服務(wù)端驗(yàn)證客戶端）涧黄，客戶端也有一套（兩份）證書(shū)來(lái)驗(yàn)證服務(wù)端消息，對(duì)于android來(lái)說(shuō)赋荆，分為bks文件（含公鑰和私鑰笋妥，自己保留）、ser文件（含公鑰給服務(wù)端）

關(guān)系：
1窄潭，服務(wù)端生成jks文件春宣，并導(dǎo)出只含公鑰的ser文件給服務(wù)端
2，客戶端用ser文件生成自己的bks文件，用來(lái)驗(yàn)證服務(wù)端的消息
3月帝，客戶端自己生成pfx文件躏惋，并導(dǎo)出只含公鑰的ser文件給服務(wù)端
4，服務(wù)端用客戶端的ser文件進(jìn)行驗(yàn)證來(lái)自客戶端的消息

用到的概念和變量：

keytool-- 用來(lái)生成證書(shū)的嚷辅，jks簿姨、bks、cer簸搞、pfx等
keystore-- 用來(lái)儲(chǔ)存證書(shū)的款熬，初始化時(shí)傳入證書(shū)類型,keystor的初始化：
keystore.load(inputStream, passWord);或keystore.load(null),keystroe.setCertificateEntry(alias,certificate);
certificateFactory-- 證書(shū)工廠，通常通過(guò)傳入?yún)?shù)（X509）生成攘乒，用來(lái)讀取本地的證書(shū)數(shù)據(jù)流贤牛，并生成相應(yīng)的證書(shū)
SSLSocketFactory--非常重要，是所有框架和網(wǎng)絡(luò)請(qǐng)求從http轉(zhuǎn)https的關(guān)鍵所在则酝，例如：okhttp:直接執(zhí)行okhttp.setSslSocketFacotry(),
volley:new RequestQueue(new DiskBasedCache(),new BasicNetwork(new HurlStack(null, sslSocketFactory)));
SSLContext--用來(lái)得到sslSocketFactory sslContext.getSocketFactory();自身生成方式：SSLContext.getInstance("TLS");
keyManager[] trustManager[] --用來(lái)初始化sslContext：sslContext.init(keyManager[], trustManger[], new SecureRandom()),其中殉簸，忽略證書(shū)驗(yàn)證二者皆可為null，單向認(rèn)證只要trustManger[],雙向認(rèn)證二者都要沽讹，new SecureRandom()可以為null;
(如果alias不為空般卑，需要通過(guò)new KeyManager())
KeyManagerFactory TrustManagerFactory-- 用來(lái)生成keyManager[]和trustManager[],自己通過(guò)KeyStore.getInstance(type) 生成，通過(guò)keystore變量初始化：keyManagerFactory.init(keystore,password);其中爽雄，type是bks等蝠检，默認(rèn)getDefaultType()是jks；

附：

Windows IIS下的數(shù)字證書(shū)格式一般為挚瘟。pfx
Java tomcat 下的數(shù)字證書(shū)格式一般為.jks或.store
Apache和nginx一般是.pem
證書(shū)請(qǐng)求文件一般是.csr
證書(shū)公鑰文件一般是.cer或.crt
證書(shū)私鑰文件一般是.key

服務(wù)器提供的cer證書(shū)中包含公鑰叹谁，而android的keystore中需要bks格式的信任證書(shū)，轉(zhuǎn)換方法如下：
轉(zhuǎn)換命令說(shuō)明：
keytool -importcert -v -trustcacerts -alias 位置1
-file 位置2
-keystore 位置3 -storetype BKS
-providerclass org.bouncycastle.jce.provider.BouncyCastleProvider
-providerpath 位置4 -storepass 位置5
位置1:是個(gè)隨便取的別名
位置2:cer或crt證書(shū)的全地址
位置3:生成后bks文件的位置,建議寫(xiě)全地址
位置4:上面下載JCE Provider包的位置
位置5:生成后證書(shū)的密碼
轉(zhuǎn)換完整示例
keytool -importcert -v -trustcacerts -alias my12306 -file C:\Users\Administrator\Desktop\證書(shū)\srca.cer -keystore C:\Users\Administrator\Desktop\證書(shū)\srca.bks -storetype BKS -providerclass org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath C:\Users\Administrator\Desktop\證書(shū)\bcprov-jdk15on-146.jar -storepass 123456

生成trustKeyStore后乘盖，將bks證書(shū)通過(guò)流的方式讀取出來(lái)焰檩，并初始化trustKeyStore，用這個(gè)keysore初始化trustMangerFactory并生成相應(yīng)的trustManager订框。