个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
29
4
我正在尝试了解 Android 与服务器的 TLS 连接。有人可以纠正我吗?
有两种启动 TLS 连接的方式。首先,只有服务器有证书,客户端决定是否信任它。其次,客户端和服务器都获得了证书。我说得对吗?
如何在 Android 设备上为 TLS 连接生成自定义唯一证书并将其用于连接到服务器?我只找到了第一种连接的实现。
谁能帮帮我?
最佳答案
要通过 TLS 实现双向身份验证,您需要在服务器端和客户端都有一个 keystore 。
我通常使用 Portecle 工具来创建 keystore ,这是一个非常易于使用的基于 Java 的图形用户界面工具。您可以在 portecle.sourceforge.net 上下载它
您将需要使用该工具为服务器端创建一个 JKS 格式的 keystore ,并为客户端创建另一个 BKS 格式的 keystore 。格式不同是因为 Android 本身不支持 JKS keystore 的使用,仅支持 BKS,反之亦然。
创建两个 keystore 后,您需要为每个 keystore 生成一个 key 对(公钥和私钥)。 Portecle 在工具栏上有一个名为“工具”子菜单的按钮来执行此操作。通用 key 算法和大小是 RSA 2048 位。之后,您需要为证书设置一些参数,如组织单位、名称、地点等。
现在您有两个 keystore 和两个 key 对。
要允许客户端解密服务器接收到的消息,需要向客户端 keystore 提供服务器 keystore 的公钥。为此,只需右键单击服务器 keystore 上的 key 对,然后单击“导出”选项。然后选择“证书链”并在您的文件系统上选择一个位置来存储证书。
现在您已准备好将公钥导入客户端 keystore 。为此,请单击“工具”工具栏并选择“导入可信证书”,然后查找在上一步中导出的证书文件。将出现一些警告消息,指示您无法建立信任路径,暂时不要担心。
所以,现在您有了带有 key 对的客户端 keystore 和服务器证书。这在客户端就足够了。
现在,需要将客户端 key 对导入服务器 keystore 。在客户端 keystore 上右键单击 key 对并选择“导出”。在打开的弹出窗口中选择“私钥和证书”,然后选择 PKCS #12 格式。
然后,打开服务器 keystore 并使用“工具”工具栏的“导入 key 对”子菜单,然后选择上一步导出的 key 对。
请记住,以 BKS 格式保存客户端 keystore ,以 JKS 格式保存服务器 keystore 非常重要。
好的,这就是 keystore 的全部内容,现在是时候编写代码了。
让我们从服务器代码开始。下一个 fragment 是从我正在运行的 java Spring 项目中提取的。它是一个嵌入式 tomcat,所以配置是纯 java,很容易找到如何在传统 tomcat 配置上配置 ssl 连接器,所以我只放嵌入式版本。
private Connector createSslConnector() {
//print the client keystore
printClientKeystore();
Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
Http11NioProtocol protocol = (Http11NioProtocol) connector.getProtocolHandler();
try {
//read the keystore from the jar
//and write it to a tmp file
Resource keystoreResource = context.getResource("classpath:config/server.keystore");
byte[] keystoreData = readKeystore(keystoreResource.getInputStream());
File tmpKeystoreFile = File.createTempFile("keystore", "");
writeKeystore(tmpKeystoreFile, keystoreData);
//keystore information
final String keystoreFile = tmpKeystoreFile.getAbsolutePath();
final String keystorePass = "yourKeystorePass";
final String keystoreType = "pkcs12";
final String keystoreProvider = "SunJSSE";
final String keystoreAlias = "comics_tomcat";
connector.setScheme("https");
connector.setAttribute("clientAuth", "true");
connector.setPort(HTTPS_PORT);
connector.setSecure(true);
protocol.setSSLEnabled(true);
//keystore
protocol.setKeystoreFile(keystoreFile);
protocol.setKeystorePass(keystorePass);
protocol.setKeystoreType(keystoreType);
protocol.setProperty("keystoreProvider", keystoreProvider);
protocol.setKeyAlias(keystoreAlias);
//truststore
protocol.setTruststoreFile(keystoreFile);
protocol.setTruststorePass(keystorePass);
protocol.setPort(HTTPS_PORT);
return connector;
}
catch (IOException e) {
LOGGER.error(e.getMessage(), e);
throw new IllegalStateException("cant access keystore: [" + "keystore"
+ "] or truststore: [" + "keystore" + "]", e);
}
}
这就是服务器端的全部内容,通过使用“setSecure(true)”方法,您有一个安全标志为 true 的 ssl 连接器。这允许您要求使用私钥/公钥 auth 进行用户身份验证。
以下代码用于客户端,它加载 keystore 、信任库(通过使用相同的 keystore ),配置主机名验证器以允许连接到特定域,然后打开连接。
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
//load keystore stream
byte[] keystoreData = readInputStream(getAssets().open("client.keystore"));
//load keystore
ByteArrayInputStream bais = new ByteArrayInputStream(keystoreData);
keyStore.load(bais, KEYSTORE_PASSWORD.toCharArray());
//load truststore
bais = new ByteArrayInputStream(keystoreData);
trustStore.load(bais, KEYSTORE_PASSWORD.toCharArray());
//load trustmanager
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(trustStore);
//init keymanager
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(keyStore, KEYSTORE_PASSWORD.toCharArray());
//create ssl context
sslContext = SSLContext.getInstance("TLS");
sslContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
HostnameVerifier HOSTNAME_VERIFIER = new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
List<String> allowedHostnames = new ArrayList<String>();
allowedHostnames.add("pinterest.com");
allowedHostnames.add("192.168.1.43");
allowedHostnames.add("10.0.2.2");
return allowedHostnames.indexOf(hostname) != -1;
}
};
//open https connection
URL url = new URL("https://" + SERVER_URL + ":" + SERVER_PORT + "/api/v1/publication/getDescriptor/" + publicationId);
HttpsURLConnection urlConnection = (HttpsURLConnection) url.openConnection();
urlConnection.setSSLSocketFactory(sslContext.getSocketFactory());
urlConnection.setHostnameVerifier(HOSTNAME_VERIFIER);
//read server response
byte[] serverResult = readInputStream(urlConnection.getInputStream());
如果您有任何问题,请告诉我!
关于Android TLS 握手,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19570561/
29
4
0
我最近在/ drawable中添加了一些.gifs,以便可以将它们与按钮一起使用。这个工作正常(没有错误)。现在,当我重建/运行我的应用程序时,出现以下错误: Error: Gradle: Execu
Android 中有返回内部存储数据路径的方法吗? 我有 2 部 Android 智能手机(Samsung s2 和 s7 edge),我在其中安装了一个应用程序。我想使用位于这条路径中的 sqlit
这个问题在这里已经有了答案: What's the difference between "?android:" and "@android:" in an android layout xml f
我只想知道 android 开发手机、android 普通手机和 android root 手机之间的实际区别。 我们不能从实体店或除 android marketplace 以外的其他地方购买开发手
自Gradle更新以来,我正在努力使这个项目达到标准。这是一个团队项目,它使用的是android-apt插件。我已经进行了必要的语法更改(编译->实现和apt->注释处理器),但是编译器仍在告诉我存在
我是android和kotlin的新手,所以请原谅要解决的一个非常简单的问题! 我已经使用导航体系结构组件创建了一个基本应用程序,使用了底部的导航栏和三个导航选项。每个导航选项都指向一个专用片段,该片
我目前正在使用 Facebook official SDK for Android . 我现在正在使用高级示例应用程序,但我不知道如何让它获取应用程序墙/流/状态而不是登录的用户。 这可能吗?在那种情
我在下载文件时遇到问题, 我可以在模拟器中下载文件,但无法在手机上使用。我已经定义了上网和写入 SD 卡的权限。 我在服务器上有一个 doc 文件,如果用户单击下载。它下载文件。这在模拟器中工作正常但
这个问题在这里已经有了答案: What is the difference between gravity and layout_gravity in Android? (22 个答案) 关闭 9
任何人都可以告诉我什么是 android 缓存和应用程序缓存,因为当我们谈论缓存清理应用程序时,它的作用是,缓存清理概念是清理应用程序缓存还是像内存管理一样主存储、RAM、缓存是不同的并且据我所知,缓
假设应用程序 Foo 和 Eggs 在同一台 Android 设备上。任一应用程序都可以获取设备上所有应用程序的列表。一个应用程序是否有可能知道另一个应用程序是否已经运行以及运行了多长时间? 最佳答案
我有点困惑,我只看到了从 android 到 pc 或者从 android 到 pc 的例子。我需要制作一个从两部手机 (android) 连接的 android 应用程序进行视频聊天。我在想,我知道
用于使用 Android 以编程方式锁定屏幕。我从 Stackoverflow 之前关于此的问题中得到了一些好主意,并且我做得很好,但是当我运行该代码时,没有异常和错误。而且,屏幕没有锁定。请在这段代
文档说: android:layout_alignParentStart If true, makes the start edge of this view match the start edge
我不知道这两个属性和高度之间的区别。 以一个TextView为例,如果我将它的layout_width设置为wrap_content,并将它的width设置为50 dip,会发生什么情况? 最佳答案
这两个属性有什么关系?如果我有 android:noHistory="true",那么有 android:finishOnTaskLaunch="true" 有什么意义吗? 最佳答案 假设您的应用中有
我是新手,正在尝试理解以下 XML 代码: 查看 developer.android.com 上的文档,它说“starStyle”是 R.attr 中的常量, public static final
在下面的代码中,为什么当我设置时单选按钮的外观会发生变化 android:layout_width="fill_parent" 和 android:width="fill_parent" 我说的是
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 9
假设我有一个函数 fun myFunction(name:String, email:String){},当我调用这个函数时 myFunction('Ali', 'ali@test.com ') 如何
我是一名优秀的程序员,十分优秀!