前面已經(jīng)講了 Retrofit 2.0 詳解(一)基本用法,下面講一下怎么用Retrofit2.0加載https請求。后面提到的Retrofit都是指Retrofit2.0。
科普一下,什么是HTTPS?
簡單來說, **HTTPS **就是 “安全版” 的 HTTP , **HTTPS = HTTP + SSL **。HTTPS相當(dāng)于在應(yīng)用層和TCP層之間加入了一個SSL(或TLS),SSL層對從應(yīng)用層收到的數(shù)據(jù)進(jìn)行加密。 **TLS/SSL中使用了RSA非對稱加密,對稱加密以及HASH算法 **。
RSA算法基于一個十分簡單的數(shù)論事實(shí):將兩個大素?cái)?shù)相乘十分容易,但那時想要對其乘積進(jìn)行因式分解卻極其困難,因此可以將乘積公開作為加密密鑰。
SSL:(Secure Socket Layer,安全套接字層),為Netscape所研發(fā),用以保障在Internet上數(shù)據(jù)傳輸之安全,利用數(shù)據(jù)加密(Encryption)技術(shù),可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過程中不會被截取。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。
SSL協(xié)議可分為兩層:
SSL記錄協(xié)議(SSL Record Protocol):它建立在可靠的傳輸協(xié)議(如TCP)之上,為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。
SSL握手協(xié)議(SSL Handshake Protocol):它建立在SSL記錄協(xié)議之上,用于在實(shí)際的數(shù)據(jù)傳輸開始前,通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。
TLS:(Transport Layer Security,傳輸層安全協(xié)議),用于兩個應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性。TLS 1.0是IETF(Internet Engineering Task Force,Internet工程任務(wù)組)制定的一種新的協(xié)議,它建立在SSL 3.0協(xié)議規(guī)范之上,是SSL 3.0的后續(xù)版本,可以理解為SSL 3.1,它是寫入了 RFC的。
該協(xié)議由兩層組成: TLS 記錄協(xié)議(TLS Record)和 TLS 握手協(xié)議(TLS Handshake)。
http://www.lxweimin.com/p/64172ccfb73b
進(jìn)入正文
由于Retrofit是基于OkHttp實(shí)現(xiàn)的,因此想通過Retrofit實(shí)現(xiàn)HTTPS需要給Retrofit設(shè)置一個OkHttp代理對象用于處理HTTPS的握手過程。代理代碼如下:
OkHttpClient okHttpClient = new OkHttpClient.Builder()
.sslSocketFactory(SSLHelper.getSSLCertifcation(context))//為OkHttp對象設(shè)置SocketFactory用于雙向認(rèn)證
.hostnameVerifier(new UnSafeHostnameVerifier())
.build();
Retrofit retrofit = new Retrofit.Builder()
.baseUrl("https://10.10.8.88:8443")
.addConverterFactory(GsonConverterFactory.create())//添加 json 轉(zhuǎn)換器
.addCallAdapterFactory(RxJavaCallAdapterFactory.create())//添加 RxJava 適配器
.client(okHttpClient)//添加OkHttp代理對象
.build();
證書制作:
首先對于雙向證書驗(yàn)證,也就是說,
客戶端持有服務(wù)端的公鑰證書,并持有自己的私鑰, 服務(wù)端持有客戶的公鑰證書,并持有自己私鑰,建立連接的時候,客戶端利用服務(wù)端的公鑰證書來驗(yàn)證服務(wù)器是否上是目標(biāo)服務(wù)器;服務(wù)端利用客戶端的公鑰來驗(yàn)證客戶端是否是目標(biāo)客戶端。( 請參考RSA非對稱加密以及HASH校驗(yàn)算法 )
服務(wù)端給客戶端發(fā)送數(shù)據(jù)時,需要將服務(wù)端的證書發(fā)給客戶端驗(yàn)證,驗(yàn)證通過才運(yùn)行發(fā)送數(shù)據(jù),同樣,客戶端請求服務(wù)器數(shù)據(jù)時,也需要將自己的證書發(fā)給服務(wù)端驗(yàn)證,通過才允許執(zhí)行請求。
下面我畫了一個圖,來幫助大家來理解雙向認(rèn)證的過程,證書生成流程,以及各個文件的作用,大家可以對照具體步驟來看相關(guān)格式說明
JKS: 數(shù)字證書庫。 JKS里有KeyEntry和CertEntry,在庫里的每個Entry都是靠別名(alias)來識別的。
P12: 是PKCS12的縮寫。同樣是一個 存儲私鑰的證書庫 ,由 .jks 文件導(dǎo)出的,用戶在PC平臺安裝, 用于標(biāo)示用戶的身份 。
CER: 俗稱數(shù)字證書, 目的就是用于存儲公鑰證書 ,任何人都可以獲取這個文件 。
BKS: 由于Android平臺不識別 .keystore 和 .jks 格式的證書庫文件,因此Android平臺引入一種的證書庫格式,BKS。
有些人可能有疑問,為什么Tomcat只有一個server.keystore文件,而客戶端需要兩個庫文件?
因?yàn)橛袝r客戶端可能需要訪問過個服務(wù),而服務(wù)器的證書都不相同,因此客戶端需要制作一個truststore 來存儲受信任的服務(wù)器的證書列表。因此為了規(guī)范創(chuàng)建一個 truststore.jks 用于存儲受信任的服務(wù)器證書,創(chuàng)建一個 client.jks 來存儲客戶端自己的私鑰。對于只涉及與一個服務(wù)端進(jìn)行雙向認(rèn)證的應(yīng)用,將 server.cer 導(dǎo)入到 client.jks 中也可。
具體步驟如下:
注意:確保電腦已經(jīng)配置了java環(huán)境變量
1.生成客戶端keystore
keytool -genkeypair -alias client -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore client.jks
2.生成服務(wù)端keystore
keytool -genkeypair -alias server -keyalg RSA -validity 3650 -keypass 123456 -storepass 123456 -keystore server.keystore
//注意:CN必須與IP地址匹配,否則需要修改host
3.導(dǎo)出客戶端證書
keytool -export -alias client -file client.cer -keystore client.jks -storepass 123456
4.導(dǎo)出服務(wù)端證書
keytool -export -alias server -file server.cer -keystore server.keystore -storepass 123456
5.重點(diǎn):證書交換
將客戶端證書導(dǎo)入服務(wù)端keystore中,再將服務(wù)端證書導(dǎo)入客戶端keystore中, 一個keystore可以導(dǎo)入多個證書,生成證書列表。
生成客戶端信任證書庫(由服務(wù)端證書生成的證書庫):
keytool -import -v -alias server -file server.cer -keystore truststore.jks -storepass 123456
將客戶端證書導(dǎo)入到服務(wù)器證書庫(使得服務(wù)器信任客戶端證書):
keytool -import -v -alias client -file client.cer -keystore server.keystore -storepass 123456
6.生成Android識別的BKS庫文件
用Portecle工具轉(zhuǎn)成bks格式,最新版本是1.10。
下載鏈接:https://sourceforge.net/projects/portecle/
運(yùn)行protecle.jar將client.jks和truststore.jks分別轉(zhuǎn)換成client.bks和truststore.bks,然后放到android客戶端的assert目錄下
File -> open Keystore File -> 選擇證書庫文件 -> 輸入密碼 -> Tools -> change keystore type -> BKS -> save keystore as -> 保存即可
這個操作很簡單,如果不懂可自行百度。
我在Windows下生成BKS的時候會報(bào)錯失敗,后來我換到CentOS用OpenJDK1.7立馬成功了,如果在這步失敗的同學(xué)可以換到Linux或Mac下操作,
將生成的BKS拷貝回Windows即可。
7.配置Tomcat服務(wù)器
找到Tomcat安裝目錄 conf\server.xml文件,配置8443端口
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="${catalina.base}/key/server.keystore" keystorePass="123456"
truststoreFile="${catalina.base}/key/server.keystore" truststorePass="123456"/>
備注: - keystoreFile:指定服務(wù)器密鑰庫,可以配置成絕對路徑,本例中是在Tomcat目錄中創(chuàng)建了一個名為key的文件夾,僅供參考。
- keystorePass:密鑰庫生成時的密碼
- truststoreFile:受信任密鑰庫,和密鑰庫相同即可
- truststorePass:受信任密鑰庫密碼
8.Android App編寫B(tài)KS讀取創(chuàng)建證書自定義的SSLSocketFactory
private final static String CLIENT_PRI_KEY = "client.bks";
private final static String TRUSTSTORE_PUB_KEY = "truststore.bks";
private final static String CLIENT_BKS_PASSWORD = "123456";
private final static String TRUSTSTORE_BKS_PASSWORD = "123456";
private final static String KEYSTORE_TYPE = "BKS";
private final static String PROTOCOL_TYPE = "TLS";
private final static String CERTIFICATE_FORMAT = "X509";
public static SSLSocketFactory getSSLCertifcation(Context context) {
SSLSocketFactory sslSocketFactory = null;
try {
// 服務(wù)器端需要驗(yàn)證的客戶端證書,其實(shí)就是客戶端的keystore
KeyStore keyStore = KeyStore.getInstance(KEYSTORE_TYPE);// 客戶端信任的服務(wù)器端證書
KeyStore trustStore = KeyStore.getInstance(KEYSTORE_TYPE);//讀取證書
InputStream ksIn = context.getAssets().open(CLIENT_PRI_KEY);
InputStream tsIn = context.getAssets().open(TRUSTSTORE_PUB_KEY);//加載證書
keyStore.load(ksIn, CLIENT_BKS_PASSWORD.toCharArray());
trustStore.load(tsIn, TRUSTSTORE_BKS_PASSWORD.toCharArray());
ksIn.close();
tsIn.close();
//初始化SSLContext
SSLContext sslContext = SSLContext.getInstance(PROTOCOL_TYPE);
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(CERTIFICATE_FORMAT);
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(CERTIFICATE_FORMAT);
trustManagerFactory.init(trustStore);
keyManagerFactory.init(keyStore, CLIENT_BKS_PASSWORD.toCharArray());
sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);
sslSocketFactory = sslContext.getSocketFactory();
} catch (KeyStoreException e) {...}//省略各種異常處理,請自行添加
return sslSocketFactory;
}
9.Android App獲取SSLFactory實(shí)例進(jìn)行網(wǎng)絡(luò)訪問
結(jié)束語
由于雙向認(rèn)證涉及的原理知識太多,有些地方我也是一筆帶過,本文想著重介紹證書的制作以及應(yīng)用。在此奉勸各位,如果不了解 RSA非對稱加密,對稱加密以及HASH校驗(yàn)算法 的同學(xué),最好還是先看書學(xué)習(xí)一下。
了解原理對于進(jìn)步來說是十分有幫助的,網(wǎng)上的資料魚龍混雜,不了解原理的話你根本無從分辨網(wǎng)上文章的正誤。
文章轉(zhuǎn)載至 ChongmingLiu,感謝這位兄弟的分享!
