自建CA中心,为公司不同应用签发证书

制作过程使用
WINDOWS 7, JDK 1.7

首先在生成2个目录,一个存放CA中心根证书,另一个存放CA签发的应用证书
D:\CA
D:\CA\appserver

进入D;\CA目录

1. 生成 CA 根证书库
keytool -genkey -alias CA -keypass CA123 -keyalg RSA -validity 36500 -keystore .\CA.keystore -storepass CASTORE123 -dname "CN=My CA, C=CN"

注意,dname可以根据需要,自己填写其他项。

2. 导出 CA 根证书(实际上是个自签名过程,不过低版本的keytool -selfcert命令已经废弃了)
keytool -exportcert -alias CA -file CA.cer -keystore CA.keystore -storepass CASTORE123


进入D:\CA\appserver目录

3. 生成appserver证书库
keytool -genkey -alias appserver -keypass APPSERVER123 -keyalg RSA -validity 3650 -keystore .\appserver.keystore -storepass APPSERVERSTORE123 -dname "CN=app.myname.com, OU=My company name, O=My company name, C=CN"

4. 生成请求CA签名的文件
keytool -certreq -alias appserver -keystore .\appserver.keystore -storepass APPSERVERSTORE123 -file appserver.certreq

5. 用CA根证书为appserver证书签名
keytool -gencert -infile appserver.certreq -outfile appserver.cer -validity 3650 -alias CA -keypass CA123 -keystore ..\CA.keystore -storepass CASTORE123

6. 把CA根证书导入appserver证书库
keytool -importcert -alias CA -file ../CA.cer -keystore appserver.keystore -storepass APPSERVERSTORE123

提示:是否信任此证书? [否]:
键盘输入:y
提示:证书已添加到密钥库中


7. 导入CA签发的证书到appserver证书库(实际上是更新证书,在更新被签发证书之前,一定要先将相应的 CA 证书,导入进 appserver证书库 文件)
keytool -importcert -alias appserver -file appserver.cer -keystore appserver.keystore -storepass APPSERVERSTORE123

再把得到的appserver.keystore配置到tomcat里,这样,在浏览器上上浏览tomcat的应用,就可以看到证书颁发者是:My CA,而使用者是:app.myname.com。并且,两个证书也形成了一个证书链了(这个可以在证书路径中查看到),看上去像模像样些了。


在android客户端的开发中,需要用到BKS类型的证书库(上面的是JKS类型证书库),那上面的tomcat部署的服务,如何在android中访问呢?

假设上面的已经执行完成了,得到了应用证书appserver.cer,那么接下来这样做。

1. 下载必须的bcprov-jdk15on-146.jar,并放到D:\CA\appserver目录下,下载地址[url]http://www.bouncycastle.org/download/bcprov-jdk15on-146.jar[/url],注意版本号。

2. 进入D:\CA\appserver目录,输入如下命令:
keytool -import -alias appserver -file .\appserver.cer -keystore .\appserver.bks -storetype BKS -storepass bks123 -providerClass org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath .\bcprov-jdk15on-146.jar

这样就得到BKS证书了,交给android开发同学即可。

android开发环境:
android studio 1.5
Android API 23
OkHttp 3.0.1

把得到的appserver.bks,放入:src/assets路径下,当然放在其他路径比如下也可以,只要能方便读到即可。

示例代码如下:
[quote]
private void byOkHttps(String url, String json) throws Exception {

//读取bks证书库
KeyStore keyStore = readKeyStore();

//初始化SSLContext
SSLContext sslContext = SSLContext.getInstance("TLS");
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init(keyStore);
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
keyManagerFactory.init(keyStore, "bks123".toCharArray());
sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());

//初始化OkHttpClient
OkHttpClient client= new OkHttpClient.Builder()
.sslSocketFactory(sslContext.getSocketFactory())
.build();

//jons请求数据
RequestBody body = RequestBody.create(JSON, json);

Request request = new Request.Builder()
.url(url)
.post(body)
.headers(getHeaders())
.build();

client.newCall(request).enqueue(new Callback() {
@Override
public void onFailure(Call call, IOException e) {
e.printStackTrace();
}

@Override
public void onResponse(Call call, Response response) throws IOException {
//NOT UI Thread
if (response.isSuccessful()) {
Log.d("RESPONSE:", response.body().string());
} else {
throw new IOException("Unexpected code " + response);
}
}
});
}


private KeyStore readKeyStore() throws Exception {
KeyStore ks = KeyStore.getInstance("BKS");
char[] password = "bks123".toCharArray();

java.io.InputStream is = null;
try {
is = getAssets().open("appserver.bks");
ks.load(is, password);
} finally {
if (is != null) {
is.close();
}
}
return ks;
}
[/quote]


后记:

1. 在生成BKS证书库时,开始我是下载的bcprov-jdk15on-154.jar,也可以用,但是需要在android开发中做些修改,

1. 要把bcprov-jdk15on-154.jar引入到android项目中
2. 修改上面的readKeyStore代码
private KeyStore readKeyStore() throws Exception {
KeyStore ks = KeyStore.getInstance("BKS", new BouncyCastleProvider());
char[] password = "bks123".toCharArray();

java.io.InputStream is = null;
try {
is = getAssets().open("appserver.bks");
ks.load(is, password);
} finally {
if (is != null) {
is.close();
}
}
return ks;
}


2. 当用HTTPS访问部署有证书的应用服务器时,有时候是用IP来访问的,比如访问内网测试服务器时,一般都不会用域名,而是直接用IP来访问,这时候可能会出现类似hostname wrong的错误,这其实是我们的证书有问题造成的,解决方法是在最早的生成证书/签发证书的步骤中的:

3. 生成appserver证书库
keytool -genkey,这个命令加上:-ext san=ip:192.168.1.123
5. 用CA根证书为appserver证书签名
keytool -gencert,这个命令加上:-ext san=ip:192.168.1.123

不要用网上介绍的所谓信任所有域的方法,这样不安全。

你可能感兴趣的:(SSL)