Android SSL单双向认证逻辑学习笔记

头一次听说要做双向认证的时候一脸懵逼，不清楚啥玩意是双向认证，破APP干嘛要认证，有啥重要信息吗，单向行不行，好吧你说双向就双向，赶紧一波学习。

先记录下啥是单向，啥是双向

• 单向
  以Server认证为例，Server集成公钥私钥
  1.App发来SSL版本信息
  2.Server返回公钥，随机数
  3.App验证公钥没毛病，发送支持的对称加密算法
  4.Server挑选支持的对称加密算法，明文发给App
  5.App生成随机数，使用该算法加密信息,并使用Server给的公钥加密
  6.Server收到后私钥解密后得到对称加密数据，用协商好的对称加密算法解密得到原始数据
  7.Server返回数据，App使用公钥解密，使用协商好的对称加密方式解密得到原始数据

• 双向
  一端完成证书校验后，单向认证再来一次，App以同样的方式校验Server信息

• CA的作用
  完成第三步，校验证书合法性

有些运营会提供多个证书，刚开始有点懵逼，运营提供了一个公钥一个公钥一个中间件证书，公钥私钥好理解，直接套用SSL流程，中间件证书一段时间内懵逼，如果公钥私钥由官方认证的CA机构签发，那么中间件证书可以不要，Android集成主流CA公钥证书，HTTPS通信中会默认使用，之所有很多App还是集成中间件证书是因为用户可以手动关闭这些证书认证，集成中间件证书可以防止该类情况（设置搜索“信任的凭证“查看已有的证书）。

• 逻辑
  CA -> 保证公钥有效性（是自己人不是贼人）
  公钥 -> 解开私钥加密数据，顺便用它加加密（是自己人加的密，不是贼人加的密）
  私钥 -> 解开公钥加密数据，顺便用它加加密 (确实是自己的公钥，不是贼人的公钥)
  所有的所有 -> 就是为了保证最终这个对称加密的方式、加密的数据绝对安全

上面提到第二步Server会向App发送他自己的公钥，这里可能被贼人窃取，虽然Server保证信任通过他自己的公钥加密后的数据，但是这人是谁~可能是隔壁老王，用他自己的公钥给App，用拦截下的公钥给Server写信（狗东西看了就看了还要改），为了防止隔壁老王窃取公钥伪装自己发消息，CA就有用了，再给公钥加个密，老王即使解了密，看了Server的公钥（玛德有被看了），但是，能伪装，能改吗，不能，因为老王没有CA的私钥，他即使还是牛逼到偷看了信息，但是已经没有机会再修改信息，如果用了自己的私钥加密给了App，App也解不开他那套，自然认证不过。那么问题来了，如果CA私钥也被老王窃取了怎么办？？？凉拌，这么牛的老王认命。

元素

• 公钥
• 私钥
• 签名
• 证书

 public SSLSocketFactory getSocketFactory(
            AssetManager assetManager,
            final String caCrtFile,
            final String crtFile,
            final String keyFile,
            final String password)
            throws Exception {
        Security.addProvider(new BouncyCastleProvider());

        X509Certificate caCert = null;
        X509Certificate clientCert = null;

        BufferedInputStream caBis = new BufferedInputStream(assetManager.open(caCrtFile));
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        int i = 0;
        while (caBis.available() > 0) {
            caCert = (X509Certificate) certificateFactory.generateCertificate(caBis);
            Log.d("X509Certificate", "" + i++);
        }
        caBis = new BufferedInputStream(assetManager.open(crtFile));
        while (caBis.available() > 0) {
            clientCert = (X509Certificate) certificateFactory.generateCertificate(caBis);
        }
        // load client private key
        PEMParser pemParser = new PEMParser(new InputStreamReader(assetManager.open(keyFile)));
        Object object = pemParser.readObject();
        PEMDecryptorProvider decProv = new JcePEMDecryptorProviderBuilder().build(password.toCharArray());
        JcaPEMKeyConverter converter = new JcaPEMKeyConverter()
                .setProvider("BC");
        KeyPair key;
        if (object instanceof PEMEncryptedKeyPair) {
            Log.e("TSPAPP", "Encrypted key - we will use provided password");
            key = converter.getKeyPair(((PEMEncryptedKeyPair) object)
                    .decryptKeyPair(decProv));
        } else {
            Log.e("TSPAPP", "Unencrypted key - no password needed");
            key = converter.getKeyPair((PEMKeyPair) object);
        }
        pemParser.close();

        KeyStore trustManagerFactoryKeyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        Log.d("hashcode 1", trustManagerFactoryKeyStore.hashCode()+"");

        trustManagerFactoryKeyStore.load(null, null);
        trustManagerFactoryKeyStore.setCertificateEntry("ca-certificate", caCert);

        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("X509");
        trustManagerFactory.init(trustManagerFactoryKeyStore);

        KeyStore keyManagerFactoryKeyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        Log.d("hashcode 2", keyManagerFactoryKeyStore.hashCode()+"");
        keyManagerFactoryKeyStore.load(null, null);
        keyManagerFactoryKeyStore.setCertificateEntry("certificate", clientCert);
        keyManagerFactoryKeyStore.setKeyEntry("private-key", key.getPrivate(), password.toCharArray(), new java.security.cert.Certificate[]{clientCert});

        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        keyManagerFactory.init(keyManagerFactoryKeyStore, password.toCharArray());

        SSLContext context = SSLContext.getInstance("TLSv1.2");
        context.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);
        return context.getSocketFactory();
    }

相关概念仍有问题的可以直接参考谷歌官方文档