Android 实现HTTPS自签名证书(非常详细)

1.HTTPS协议

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议。简单来说, HTTP是超文本传输协议 ,信息是明文传输。SSL 是指安全套接字层,它是一项标准技术,使用加密算法打乱传输中的数据,可确保互联网连接安全。所以HTTPS是超文本传输安全协议。

TLS(传输层安全)是更为安全的升级版 SSL。由于 SSL 这一术语更为常用,因此我们仍然将我们的安全证书称作 SSL。如果某个网站受 SSL 证书保护,其相应的 URL 中会显示 HTTPS,单击浏览器地址栏的挂锁图标,即可查看证书详细信息,包括颁发机构和网站所有者的公司名称。

1.1Https的优点:

1.认证用户和服务器,确保数据发送到正确的客户机和服务器 。(验证证书) 

2.加密并维护数据的完整性,确保数据在传输过程中不被改变。(加密,摘要算法)

一般支持HTTPS的网站,都是CA(Certificate Authority)机构颁发的证书,一般机构颁发的证书都是需要交费的,购买受信任机构颁发的证书每年要交 100 到 500 美元不等的费用,到期就需要续费。如果证书过期、已被吊销或者非证书所代表的域名,都是不被浏览器信任的。不被浏览器信任,也就无法通过网络直接访问。

我们可以使用自签名的方式,不花一分钱让网络能正常的访问获取到服务器数据,访问链接时手动信任该证书或忽略证书验证,以后就不会继续拦截了。自签名证书不适合大众,大众看见浏览器给出的警告⚠️(提示“不安全”),感觉怪吓人的!如果用于网站的证书需要被大众信任,就不要使用自签发的证书,建议向证书签发机构购买一个。通过自签发的方式,可以加密数据,还是适合公司内部使用的。

如果已经购买了https证书,网络框架正常使用就好了,下面介绍的是没有购买https证书,又想用https加密数据,以okhttp网络框架为例,如何实现自签名证书。

2.什么是自签名证书( self-signed certicates)

自签名证书就是没有通过受信任的证书颁发机构 自己给自己颁发的证书.

SSL 证书大致分三类:

由安卓认可的证书颁发机构(如: VeriSign、DigiCert), 或这些机构的下属机构颁发的证书.

没有得到安卓认可的证书颁发机构颁发的证书.

自己颁发的证书, 分临时性的(在开发阶段使用)或在发布的产品中永久性使用的两种.

以下是客户端配置

2.1 Okhttp中使用自签名证书

OkHttp是一款开源的处理网络请求的轻量级框架,有Square公司贡献,用于替代HttpUrlConnection与Apache HttpClient。OkHttp使用完全教程

2.2 如何生成keystore

通过JDK自带的keytool.exe 生成一个自己的证书,终端输入 keytool -genkey -v -keystore android.keystore -alias wenzhibin -keyalg RSA -validity 20000 -keystore /Users/jxxxx/yanhuomatou2015.keystore ,然后回车,按提示填写余下的环节即可生成证书如下图:


注意:wenzhibin是keystore文件的别名,20000 是keystore文件的有效期(天),/Users/jxxxx/是生成到哪里去(自己指定一个路径),yanhuomatou2015.keystore是keystore文件的名字。

2.3通过keystore文件如何导出自签名证书

终端输入 keytool -exportcert -alias wenzhibin -file yanhuomatou2015.cer -keystore yanhuomayou2015.keystore ,回车即可导出证书。

2.4如何使用自签名证书

首先获取证书流有两种方式,

第一种方式:将导出的证书放到assets文件夹里面,然后获取(这种方式证书会被打包到apk里)

第二种方式:打开证书,拷贝证书里的内容,定义成字符串常量,再将字符串转为流的形式(这种方式证书就不会被打包到apk里)

然后创建秘钥,添加证书进去,接着创建信任管理器工厂并初始化秘钥

最后获取SSL上下文对象,并初始化信任管理器



3.信任所有证书(不建议使用)

如果服务端更换了证书,那么客户端同样需要更换对应https证书才行,否则无法正常交互获取不到数据。此时如果客户端不换证书又想获取到服务器数据,可以通过实现X509TrustManager接口,达到信任所有证书的目的。如下图:

以下是服务端配置

4.准备工作,首先需要安装Tomcat。

4.1登录Apache Tomcat官网,地址 http://tomcat.apache.org ,点击左边的Download,选择需要下载的版本。



4.2 右键Finder—>前往文件夹—> ~/Library/ 目录下,把下载完成的压缩包解压,命名为Tomcat,拷贝到这里。


4.3 打开终端,输入  cd /Users/jxxxxx/Library/Tomcat/bin,然后回车

(ps:jxxxxx是你mac电脑的用户名。也可以直接输入 cd,然后把Tomcat的bin目录拖到终端即可)

4.4再输入:./startup.sh ,回车


如果出现Permission denied就是操作失败,缺少权限。再输入 sudo chmod 755 *.sh,回车,接着输入 ./startup.sh,就可以启动Tomcat了:


出现Tomcat started就说明服务器打开了。

(ps:sudo sh shutdown.sh 关闭服务器,然后再输入sudo sh startup.sh 打开服务器,表示服务器重启)

4.5打开我们的浏览器,然后网址输入  http://localhost:8080/,如果出现一只猫,则证明配置成功~

(Tomcat部署在自己电脑上,所以可以用localhost代替具体的ip地址)

5.修改,配置Tomcat 参数

5.1在ROOT目录下新建json数据,如图

5.2在conf文件夹下,之前生成的keystore文件拷贝到conf文件夹下,并打开serve.xml,修改配置



注意,红框里的内容都是新添加进去的配置,而且keystoreFile="填写自己的keystore文件名"  keystorePass="keystore文件密码"。

5.3 最后保存退出,打开终端 输入 sudo sh shutdown.sh,再输入sudo sh startup.sh ,待服务器重起成功。

6.浏览器测试https自签名证书效果



手动信任证书点击”高级“--->“继续前往”,最终看到了服务器返回了yanhuomatou2015.json的数据。

7.android网络请求okhttps框架测试https自签名证书效果:

7.1使用android原生框架实现,如下图


7.2除了上面的原生框架实现,还可以用第三方框架实现,以okhttp框架为例,如下图:


总结:不管用原生还是第三方框架,都能成功获取tomcat服务器的数据,如下图android studio打印的:


完整的android代码链接:https://github.com/yanhuomatou2015/HTTPS-self-signed

今天的分享结束了,再见~

你可能感兴趣的:(Android 实现HTTPS自签名证书(非常详细))