本文为个人学习笔记分享,没有任何商业化行为,对其他文章的引用都会标记。如有侵权行为,请及时提醒更正!如需转载请表明出处。
SSL详解
什么是HTTPS?
《图解HTTP》这本书中曾提过HTTPS是身披SSL外壳的HTTP。HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。
PS:TLS是传输层加密协议,前身是SSL协议,由网景公司1995年发布,有时候两者不区分。
SSL介绍:
安全套接字(Secure Socket Layer,SSL)协议是Web浏览器与Web服务器之间安全交换信息的协议,提供两个基本的安全服务:鉴别与保密。
问题:Okhttp是怎样实现SSL的?
public Builder sslSocketFactory(SSLSocketFactory sslSocketFactory) {
if (sslSocketFactory == null)
throw new NullPointerException("sslSocketFactory == null");
this.sslSocketFactory = sslSocketFactory;
this.certificateChainCleaner = Platform.get().buildCertificateChainCleaner
(sslSocketFactory);
return this;
}
//如果没有设置sslSocketFactory,就会使用默认的systemDefaultSslSocketFactory
if (builder.sslSocketFactory != null || !isTLS) {
this.sslSocketFactory = builder.sslSocketFactory;
this.certificateChainCleaner = builder.certificateChainCleaner;
} else {
X509TrustManager trustManager = systemDefaultTrustManager();
this.sslSocketFactory = systemDefaultSslSocketFactory(trustManager);
this.certificateChainCleaner = CertificateChainCleaner.get(trustManager);
}
在OkhttpClient中设置SslSocketFactory。
1.为什么我们没有对Okhttp进行任何设置就可以使用https?
2.默认的SslSocketFactory做了什么
private SSLSocketFactory systemDefaultSslSocketFactory(X509TrustManager trustManager) {
try {
SSLContext sslContext = Platform.get().getSSLContext();
sslContext.init(null, new TrustManager[]{trustManager}, null);
return sslContext.getSocketFactory();
} catch (GeneralSecurityException e) {
throw assertionError("No System TLS", e); // The system has no TLS. Just give up.
}
}
public SSLContext getSSLContext() {
try {
return SSLContext.getInstance("TLS");
} catch (NoSuchAlgorithmException e) {
throw new IllegalStateException("No TLS provider", e);
}
}
在systemDefaultSslSocketFactory方法中
1.调用SSLContext初始化获取SSLContext对象
2.调用init方法
3.获取SocketFactory
在SSL中有两种类型的校验模式:
单向校验:服务器向客户端发送证书进行校验
双向校验:除了服务器向客户端发送证书以外,客户端需要发送证书到服务器进行校验
sslContext.init(null, new TrustManager[]{trustManager}, null);
init函数中第一个传NULL,默认表示Okhttp只支持单向校验。
TrustManager[]{trustManager} 参数表示信任证书
在systemDefaultSslSocketFactory中X509TrustManager对象表示Okhttp默认证书信息管理。
private X509TrustManager systemDefaultTrustManager() {
try {
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
TrustManagerFactory.getDefaultAlgorithm());
//传NULL表示信任任何证书。
trustManagerFactory.init((KeyStore) null);
TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
throw new IllegalStateException("Unexpected default trust managers:"
+ Arrays.toString(trustManagers));
}
return (X509TrustManager) trustManagers[0];
} catch (GeneralSecurityException e) {
throw assertionError("No System TLS", e); // The system has no TLS. Just give up.
}
}
问题:如何使用自己的证书与服务器通讯
我们在什么正常的工作中可能会遇到过在客户端嵌入自己的证书和服务器进行通讯,我们常见的生活场景比如:12306
1.如何将cer证书嵌入到客户端
//使用第三发jar包
bcprov-ext-jdk15on-159.jar放入
JDK/jre\lib\ext
//制作android 可以识别的BKS文件
keytool -importcert -file srca.cer
-keystore 12306.bks -storetype BKS -provider org.bouncycastle.jce.provider.Bo
uncyCastleProvider
jar包资源网盘提取地址及cer证书 提取码: s5j8
经过上面步骤以后我们会生成一个BKS文件,我们将文件放入assets文件夹下。
//获得ssl上下文
SSLContext sslContext = SSLContext.getInstance("TLS");
//信任证书管理器
TrustManagerFactory trustManager = TrustManagerFactory.getInstance("X509");
//证书
KeyStore keyStore = KeyStore.getInstance("BKS");
keyStore.load(context.getAssets().open("12306.bks"),"yourkeys".toCharArray());
trustManager.init(keyStore);
sslContext.init(null,trustManager.getTrustManagers(),null);
//ssl socket工厂创建socket
SSLSocketFactory socketFactory = sslContext.getSocketFactory();
SSLSocket socket = (SSLSocket) socketFactory.createSocket("www.12306.cn", 443);
doHttps(socket);
如果服务器丢我们一个证书,让我们和他们通讯,我们就这样玩。
