前言
CA证书通常分为三级:根证、二级证书、服务器证书
这三级证书形成了一个证书链,可用于逐级校验CA证书的合法性(证书链其实也可以是两级或更多)
其实,手机中默认已内置了市面上的主流根证,所以当我们通过各类网络库(如:OKHttp)进行Https通信时,实际上是使用的本地根证校验的。再者,当我们通过浏览器访问各大Https的网站时,也是基于系统内置的根证进行校验的。
所以,安卓使用Https与服务器通信时,项目中默认是不用内置CA根证的。
关于系统的默认根证信息,我们可以在设置 --> 安全 -->授信的证书列表查看:
如果我们在手机设置中,手动停用了服务器对应的根证,再与服务器通信,就会报SSL异常。如果通过浏览器访问服务端的网页,也会弹出类似的提示:未授信的网站。
实际上,用户一般不清楚手机中授信的列表是什么意思,也不会随便禁用根证的。
但是也有很多软件还是选择将CA证书存放在项目本地,一起打包到apk中,原因:
1.怕用户手动禁用掉手机授信列表中的CA根证
2.怕中间人攻击(与CA厂商沟通,这种事情一般不会发生的,如果真被黑客拦截,基本上也破解不了,
否则,证书也就没安全性可言了)
3.使用了非官方CA机构颁发的证书(如自己制作的证书)
那么,安卓APP中如何内置服务器对应的根证呢?
在安卓中,通常使用.bks格式的证书库来放置证书,好处是:我们可以将1~多个如.crt格式的CA根证存入bks库中,当与服务器https通信时,会自动匹配、使用bks库中合适的证书。(举例,直白一点:如果bks中内置了a、b两个根证,服务器默认使用a进行通信,当a快过期时,服务器SSL配置切换成与b根证对应的未过期的服务器证书,这时候app不用做任何调整,也不用升级的)
本期,我们就来了解下,bks证书如何制作、读取和使用的。
Keytool 环境
Java的 Keytool工具可以用来制作bks。
环境的配置以mac系统为例(windows类似):
1.安装java环境, 配置环境变量(我下的是jdk1.8.0_20);
2.下载bcprov-ext-jdk15on-151.jar;
3.将jar文件拷贝到\Java\jdk1.8.0_20\jre\lib\ext;
打开终端, 输入keytool, 点击回车键, 如果显示下图效果, 则环境配置正常。
创建/导入根证书到bks库
要导入的根证类型一般是.cer或者.crt。如果要导入多个根证,执行多次下面的命令即可。
命令:
keytool -importcert -v -trustcacerts -alias myalas1 -file VeriSign.cer -keystore mytrustcerts.bks -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider -storepass '123456'
注意:
-alias别名:请修改成自己的别名
-file VeriSign.cer:指要导入的根证文件,请修改成自己的根证文件名称
-keystore:本地bks证书库文件,修改成自己的证书库文件名称,如果文件不存在,会自动创建
-storepass:证书库密码
查看bks证书库列表
命令:
keytool -list -rfc -keystore mytrustcerts.bks -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider -storepass '123456'
从bks证书库中导出证书
如果需要查看bks库中的单个证书信息,那么需要先将证书导出来
命令:
keytool -export -alias myalas1 -file VeriSign.cer -keystore mytrustcerts.bks -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider -storepass '123456'
查看单个证书信息(CA机构、md5、sha、有效期等)
命令:
keytool -printcert -file VeriSign_temp.cer
代码中的应用:
OKHttp为例:
1.将*.bks文件放在项目的本地,可以是raw下,也可以是assets下
2.编写代码:
public class MyOkhttpClient {
private static MyOkhttpClient singleton;
public static OkHttpClient getInstance() {
if (singleton == null) {
synchronized (CBOkhttpClient.class) {
if (singleton == null) {
OkHttpClient.Builder builder = new OkHttpClient().newBuilder();
builder.connectTimeout(50000, TimeUnit.MILLISECONDS);
builder.writeTimeout(50000, TimeUnit.MILLISECONDS);
builder.readTimeout(50000, TimeUnit.MILLISECONDS);
try {
SSLContext sslContext = SSLContext.getInstance("TLS");
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
KeyStore trustStore = KeyStore.getInstance("BKS");
InputStream ksinstream = CBFramework.getApplication().getResources().openRawResource(R.raw.cbframework_trustcerts);
trustStore.load(ksinstream, "".toCharArray());
ksinstream.close();
trustManagerFactory.init(trustStore);
sslContext.init(null, trustManagerFactory.getTrustManagers(), new SecureRandom());
builder.sslSocketFactory(sslContext.getSocketFactory(), new X509TrustManager() {
@Override
public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
}
@Override
public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
}
@Override
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[0];
}
});
} catch (Exception e) {
CBLogger.t(e);
}
singleton = builder.build();
}
}
}
return singleton;
}
}
"".toCharArray()双引号中是指的bks的密码。
其他网络库因API的差异性,用法稍也有差异,但是主要思想一致。具体用法请自行查找。
