Aandroid中https请求的双向认证
双向认证

双向证书验证:
    首先对于双向证书验证,也就是说,客户端有自己的密匙,并持有服务端的证书,服务端给客户端发送数据时,
    需要将服务端的证书发给客户端验证,验证通过才运行发送数据,同样,客户端请求服务器数据时,
    也需要将自己的证书发给服务端验证,通过才允许执行请求。

1.生成客户端keystore,因为客户端andoird不能用keystore格式的密钥库,所以先生成jks格式,再用Portecle工具转成bks格式
keytool -genkeypair -alias client -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore client.jks

2.生成服务端keystore
keytool -genkeypair -alias server -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore server.keystore  

3.导出客户端证书
keytool -export -alias client -file client.cer -keystore client.jks -storepass 123456

4.导出服务端证书
keytool -export -alias server -file server.cer -keystore server.keystore -storepass 123456

5.重点:证书交换
将客户端证书导入服务端keystore中,再将服务端证书导入客户端keystore中, 一个keystore可以导入多个证书,生成证书列表

    生成客户端信任证书库(由服务端证书生成的证书库)

    keytool -import -v -alias server -file E:\ssl\server.cer -keystore E:\ssl\truststore.jks -storepass 123456

    将客户端证书导入到服务器证书库(使得服务器信任客户端证书)

    keytool -import -v -alias client -file E:\ssl\client.cer -keystore E:\ssl\server.keystore -storepass 123456
    
6.查看证书库中的全部证书
keytool -list -keystore E:\ssl\server.keystore -storepass 123456

7.配置服务器

    修改server.xml文件
    
    备注: - keystoreFile:指定服务器密钥库,可以配置成绝对路径,如“D:/key/server.keystore”,
    本例中是在Tomcat目录中创建了一个名- 称为key的文件夹,仅供参考。
    - keystorePass:密钥库生成时的密码
    - truststoreFile:受信任密钥库,和密钥库相同即可
    - truststorePass:受信任密钥库密码
    
8.用Portecle工具,运行protecle.jar将client.jks和truststore.jks分别转换成client.bks和truststore.bks,然后放到android客户端的assert目录下
运行protecle.jar--》打开文件选中client.jks,选择tools-->change keystore type-->选择BKS,最后关闭保存为client.bks

9.读取client.bks,进行网络请求
通过上面的步骤生成的证书,客户端需要用到的是client.bks(客户端密钥,用于请求的时候给服务器来验证身份之用)和truststore.bks(客户端证书库,
用于验证服务器端身份,防止钓鱼)这两个文件.其中安卓端的证书类型必须要求是BKS类型

10.下面给出SSLContext方式进行SSL认证的客户端代码
  

try {  
            // 服务器端需要验证的客户端证书,其实就是客户端的keystore  
            KeyStore keyStore = KeyStore.getInstance("BKS");  
            // 客户端信任的服务器端证书  
            KeyStore trustStore = KeyStore.getInstance("BKS");  
       
            //读取证书  
            InputStream ksIn = getResources().getAssets().open("client.bks");  
            InputStream tsIn = getResources().getAssets().open("truststore.bks");  
       
            //加载证书  
            keyStore.load(ksIn,"123456".toCharArray());  
            trustStore.load(tsIn,"123456".toCharArray());  
            IOUtils.close(ksIn);  
            IOUtils.close(tsIn);  
       
            //初始化SSLContext  
            SSLContext sslContext = SSLContext.getInstance("TLS");  
            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("X509");  
            KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X509");  
            trustManagerFactory.init(trustStore);  
            keyManagerFactory.init(keyStore, "123456".toCharArray());  
            sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);  
       
            //通过HttpsURLConnection设置链接  
            SSLSocketFactory socketFactory = sslContext.getSocketFactory();  
            HttpsURLConnection.setDefaultSSLSocketFactory(socketFactory);  
       
            URL connectUrl = new URL(url);  
            HttpsURLConnection conn = (HttpsURLConnection) connectUrl.openConnection();  
            //设置ip授权认证:如果已经安装该证书,可以不设置,否则需要设置  
            conn.setHostnameVerifier(new HostnameVerifier() {  
                @Override  
                public boolean verify(String hostname, SSLSession session) {  
                    return true;  
                }  
            });  
       
            InputStream inputStream = conn.getInputStream();  
            String content = getString(inputStream);  
            IOUtils.close(inputStream);  
            showLog(content);  
       
       
        } catch (Exception e) {  
            e.printStackTrace();  
        }