android 基于okHttpClient开发https自签名请求

HTTPS和HTTP的区别
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。
为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。
HTTPS和HTTP的区别主要为以下四点：
一、https协议需要到ca申请证书，一般免费证书很少，需要交费。
二、http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。
三、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
四、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

那么安卓需要怎么配置才能支持https请求呢？
app网络采用的是retrofit2.0版本

步骤一、导出证书（一般是红色叉叉的警告，如以前的12306网站）

Paste_Image.png

命名文件并且导入到Android studio项目的value/raw目录下，命名为your_cer.cer
注意点：浏览器一把锁的图标是绿色的，说明是有第三方机构服务器认证的，这类的https请求在客户端不需要配置也可以访问，但配置了也不会出错。所以文章标题给出的是解决【自签名】的证书问题

步骤二、代码配置

private Retrofit.Builder m_retrofitBuilderSecure;
private WFTWebserviceInterfaceSecure wsServiceSecure;//各个接口的请求方法接口
public void init(){
//配置https，走自定义retrofit
    m_retrofitBuilderSecure = new Retrofit.Builder()
        .addConverterFactory(GsonConverterFactory.create())
        .addCallAdapterFactory(RxJava2CallAdapterFactory.create());

    Retrofit retrofitSecure = m_retrofitBuilderSecure
        .baseUrl(m_baseUrlSecure)
        .client(getClient(true))
        .build();
    wsServiceSecure = retrofitSecure.create(WFTWebserviceInterfaceSecure.class);
}
...
/**
 * 暂时作为https的OkHttpClient使用，主要因为HttpsTrustManager需要依赖app项目下的证书文件
 **/
private OkHttpClient getClient(boolean sslSelfSigned) {
    OkHttpClient.Builder builder = new OkHttpClient.Builder();
    builder.retryOnConnectionFailure(false)
        .connectTimeout(DEFAULT_NETWORK_TIMEOUT, TimeUnit.MILLISECONDS)
        .readTimeout(DEFAULT_NETWORK_TIMEOUT, TimeUnit.MILLISECONDS)
        .writeTimeout(DEFAULT_NETWORK_TIMEOUT, TimeUnit.MILLISECONDS)
        .addInterceptor(new LogInterceptor());
    if (sslSelfSigned) {
        builder.sslSocketFactory(HttpsTrustManager.getCertificates(m_context.getResources().openRawResource(R.raw.your_cer)));
    }
    return builder.build();
}

HttpsTrustManager类：关键https配置

public class HttpsTrustManager {
  public static SSLSocketFactory getCertificates(InputStream... certificates) {
    try {
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        keyStore.load(null);
        int index = 0;
        for (InputStream certificate : certificates) {
            String certificateAlias = Integer.toString(index++);
            keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate));
            try {
                if (certificate != null) {
                    certificate.close();
                }
            } catch (IOException e) {
                e.printStackTrace();
            }
        }

        SSLContext sslContext = SSLContext.getInstance("TLS");

        TrustManagerFactory trustManagerFactory =
            TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());

        trustManagerFactory.init(keyStore);
        sslContext.init
            (
                null,
                trustManagerFactory.getTrustManagers(),
                new SecureRandom()
            );
        return sslContext.getSocketFactory();
    } catch (Exception e) {
        e.printStackTrace();
    }
    return null;
}
}

相关资料：

HTTPS工作图解
HTTPS其实是有两部分组成：HTTP + SSL / TLS，也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密，所以传输的数据都是加密后的数据。具体是如何进行加密，解密，验证的，且看下图。

Paste_Image.png

客户端发起HTTPS请求。这个没什么好说的，就是用户在浏览器里输入一个https网址，然后连接到server的443端口。

1、服务端的配置。采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面(startssl就是个不错的选择，有1年的免费服务)。这套证书其实就是一对公钥和私钥。如果对公钥和私钥不太理解，可以想象成一把钥匙和一个锁头，只是全世界只有你一个人有这把钥匙，你可以把锁头给别人，别人可以用这个锁把重要的东西锁起来，然后发给你，因为只有你一个人有这把钥匙，所以只有你才能看到被这把锁锁起来的东西。

2、传送证书。这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间等等。

3、客户端解析证书。这部分工作是有客户端的TLS来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一个随机值。然后用证书对该随机值进行加密。就好像上面说的，把随机值用锁头锁起来，这样除非有钥匙，不然看不到被锁住的内容。

4、传送加密信息。这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。

5、服务段解密信息。服务端用私钥解密后，得到了客户端传过来的随机值(私钥)，然后把内容通过该值进行对称加密。所谓对称加密就是，将信息和私钥通过某种算法混合在一起，这样除非知道私钥，不然无法获取内容，而正好客户端和服务端都知道这个私钥，所以只要加密算法够彪悍，私钥够复杂，数据就够安全。

6、传输加密后的信息。这部分信息是服务段用私钥加密后的信息，可以在客户端被还原。

7、客户端解密信息。客户端用之前生成的私钥解密服务段传过来的信息，于是获取了解密后的内容。整个过程第三方即使监听到了数据，也束手无策。