秒懂Https之如何在Android中使用自签名证书

导读:本篇文章讲解 秒懂Https之如何在Android中使用自签名证书,希望对大家有帮助,欢迎收藏,转发!站点地址:www.bmabk.com

【版权申明】非商业目的注明出处可自由转载
博文地址:https://blog.csdn.net/ShuSheng0007/article/details/107838108
出自:shusheng007

系列文章:
秒懂Https之CA证书与自签名证书漫谈
秒懂https之如何在SpringBoot2中使用自签名证书

概述

秒懂Https之CA证书与自签名证书漫谈中我们谈到了如何生成自签名证书的问题。这篇文章我们看一下,如何在Android中使用生成的自签名证书。

前提

本文基于网络请求库Retrofit2(OkHttp)

使用方式

未来方案

为什么说是未来方案呢?因为只有Android7.0及以上才可以使用,而时至今日一款成熟的App至少要支持到Android5.0,甚至Android4.4。但我们还是要简单的介绍一下,毕竟再过几年人家就是主角了。

Android7.0(API Level 24)开始Android引入一套网络安全配置的机制,使用这种机制可以非常容易使用自签名证书。使用步骤如下:

  1. 将自签名证书放到App的src/main/res/raw文件下,例如我的证书叫sng_certificate.
  2. 在App的src/main/res下建立一个xml文件夹,在里面创建一个叫network_security_config.xml的文件,名称可以任意叫,其内容如下
	 <?xml version="1.0" encoding="utf-8"?>
	 <network-security-config>
	     <domain-config>
	         <domain includeSubdomains="true">你服务器的域名</domain>
	         <trust-anchors>
	             <certificates src="@raw/sng_certificate"/>
	         </trust-anchors>
	     </domain-config>
	 </network-security-config>
  1. 将此文件配置到AndroidManifest.xml文件中
	<?xml version="1.0" encoding="utf-8"?>
    <manifest ... >
        <application 
            android:networkSecurityConfig="@xml/network_security_config"
                        ... >
            ...
        </application>
    </manifest>

至此即大功告成。

注意: 此种方式要求自签名证书的格式为 PEM 或 DER 。详情可以参考官网 网络安全配置

现实的方案

这个才是本文的重点,毕竟我们的App是要上线的,所以要争取更多的用户。

现在Retrofit基本上已经成为Android网络请求的标配了,而其是基于OkHttp的,所以此处处理证书的问题实际上还是仰赖于OkHttp.

具体通过调用:OkHttpClient.Builder 里的

fun sslSocketFactory(sslSocketFactory: SSLSocketFactory,  trustManager: X509TrustManager )

方法。问题进而演变为如何获得这个方法的两个入参的问题,接下来我们就来解决这个问题。

  1. 将自签名证书放到App的src/main/res/raw文件下,例如我的证书叫sng_certificate.crt

  2. 获得第一个参数SSLSocketFactory

    private SSLContext getSslContext(InputStream certificateIs) throws GeneralSecurityException {
    	//从证书文件中读入证书
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        Collection<? extends Certificate> certificates = certificateFactory.generateCertificates(certificateIs);		
        if (certificates.isEmpty()) {
            throw new IllegalArgumentException("certificate can not be empty");
        }
    
        //将读取的证书放入KeyStore, 密码可以为任意值
        char[] password = "ss007".toCharArray();
        KeyStore keyStore = getEmptyKeyStore(password);
        int index = 0;
        for (Certificate certificate : certificates) {
            String certificateAlias = Integer.toString(index++);
            keyStore.setCertificateEntry(certificateAlias, certificate);
        }
    
        // 使用 keyStore去构建一个X509信任管理器
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        keyManagerFactory.init(keyStore, password);		        
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init(keyStore);		        
        TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
        
        //构建信任的证书管理器构建SSLContext 
        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, trustManagers, null);
        return sslContext;
    }		    
    
    //获取一个空keystore	    
    private KeyStore getEmptyKeyStore(char[] password) throws GeneralSecurityException {
        try {
                KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());//此处使用.crt文件,所以使用getDefaultType即可
                InputStream in = null; //'null' creates an empty key store.
                keyStore.load(in, password);
                return keyStore;
            } catch (IOException e) {
                throw new AssertionError(e);
            }
        }
    

    通过以上方法可以获得SSLContext,进而获得SSLSocketFactory,如下所示

    InputStream is = context.getResources().openRawResource(R.raw.sng_certificate);
    SSLSocketFactory sslSocketFactory= getSslContext(is).getSocketFactory();
    
  3. 获得第二个参数X509TrustManager

    private X509TrustManager getSystemDefaultTrustManager() throws GeneralSecurityException{
        TrustManagerFactory trustManagerFactory=TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init((KeyStore) null);
        TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
        if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
            throw new IllegalStateException("Unexpected default trust managers:" + Arrays.toString(trustManagers));
        }
        return (X509TrustManager) trustManagers[0];
    }
    
  4. 配置OkHttpClient.Builder

    //放弃验证证书中的域名信息
    builder.hostnameVerifier((hostname, session) -> true);
    builder.sslSocketFactory(getSslContext(is).getSocketFactory(), getSystemDefaultTrustManager());
    

注意: 如果你生成证书时包含的域名或者ip地址和你服务器的域名或者ip不匹配时,默认是会报错的,需要使用hostnameVerifier来放弃验证域名。

经过以上4步就完成了自签名证书在Android中使用的功能。

总结

下一篇我们介绍一下如何在SpringBoot2中使用自签名证书。如果此文帮助到了你,请不要吝啬你的赞美,随手点赞转发,去帮助更多的小伙伴…

生于忧患,死于安乐。——孟子

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/14720.html

(0)
小半的头像小半

相关推荐

极客之音——专业性很强的中文编程技术网站,欢迎收藏到浏览器,订阅我们!