目标
我正在努力实现与客户证书的沟通。
步骤1:创建PKCS#10请求(CSR)并将其提供给我的服务器进行签名。服务器联系人将CSR传递给CA,CA对其进行签名,并返回PKCS#7(带有签名的PKCS#10和CA的证书)。
步骤2:创建PKCS#12,将其安全地存储在Android设备上
步骤3:创建SSL连接,以便根据证书对客户端进行身份验证。
现在,第1步使用SpongyCastle 1.50.0.0完美运行,但我坚持其他步骤...... 我目前正在获得SSL握手异常,但我觉得我应该重新考虑我的实现。
问题
有谁知道如何实施流程?如何创建和存储客户端证书与Android的SSLContext配合使用所需的一切,以及如何创建这样的SSLContext?
到目前为止我尝试了什么
我的第一次尝试是使用KeyChain,但我们希望避免用户互动,如此处所述。我的第二次尝试是遵循Rich Freedman's steps,但我不知道如何从PKCS#7和私钥创建PKCS#12。对于持久性,我去了this post,但是(a)它是C#,(b)它是未加密的(c)我认为android平台有一个更好的密钥持久性机制,我还不知道。最后,this code(用于从PEM和PKCS#7创建PKCS12)不起作用,因为我不知道如何获取CER文件以及其他所需的东西。
谢谢!
答案 0 :(得分:5)
也许不是最好的代码,但它有效,它并不能严格回答你所有的问题,但也许你会找到可以使用的代码。
你的流量很好,我做的几乎是一样的。
我将密钥保存在动态创建的密钥库中。另外,我的密钥库包含使用openssl工具创建的可信证书。
对于沟通,我已经使用了okHttp + retrofit
https://github.com/square/okhttp https://github.com/square/retrofit
生成KeyPair:
public static KeyPair generateKeyPair() throws NoSuchAlgorithmException {
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
keyPairGenerator.initialize(2048);
KeyPair keyPair = keyPairGenerator.genKeyPair();
return keyPair;
}
生成csr:
private static PKCS10CertificationRequest generateCSRFile(KeyPair keyPair) throws IOException, OperatorCreationException {
String principal = "CN=company1, OU=company1, O=company1, C=GB";
AsymmetricKeyParameter privateKey = PrivateKeyFactory.createKey(keyPair.getPrivate().getEncoded());
AlgorithmIdentifier signatureAlgorithm = new DefaultSignatureAlgorithmIdentifierFinder()
.find("SHA1WITHRSA");
AlgorithmIdentifier digestAlgorithm = new DefaultDigestAlgorithmIdentifierFinder().find("SHA-1");
ContentSigner signer = new BcRSAContentSignerBuilder(signatureAlgorithm, digestAlgorithm).build(privateKey);
PKCS10CertificationRequestBuilder csrBuilder = new JcaPKCS10CertificationRequestBuilder(new X500Name(
principal), keyPair.getPublic());
ExtensionsGenerator extensionsGenerator = new ExtensionsGenerator();
extensionsGenerator.addExtension(X509Extension.basicConstraints, true, new BasicConstraints(true));
extensionsGenerator.addExtension(X509Extension.keyUsage, true, new KeyUsage(KeyUsage.keyCertSign
| KeyUsage.cRLSign));
csrBuilder.addAttribute(PKCSObjectIdentifiers.pkcs_9_at_extensionRequest, extensionsGenerator.generate());
PKCS10CertificationRequest csr = csrBuilder.build(signer);
return csr;
}
发送csr(您可能需要将其转换为pem格式),接收证书。
Init keystore:
KeyStore store = KeyStore.getInstance("BKS");
InputStream in;
try {
in = App.getInstance().getApplicationContext().openFileInput(filename);
try {
store.load(in, password);
} finally {
in.close();
}
} catch (FileNotFoundException e) {
//create new keystore
store.load(null, password);
}
Init truststore:
KeyStore trustStore = KeyStore.getInstance("BKS");
InputStream in = App.getInstance().getApplicationContext().getResources().openRawResource(R.raw.truststore);
try {
trustStore.load(in, trustorePassword);
} finally {
in.close();
}
将密钥添加到密钥库(确保您的私钥和证书匹配,密钥库不会抛出异常,如果他们没有,并且使用okHttp这会导致libssl崩溃(仅限api低于4.1的设备) ):
keyStore.setKeyEntry(alias, privateKey, password, new X509Certificate[]{certificate});
使用自己的SSLContext创建okHttpClient:
OkHttpClient client = new OkHttpClient();
KeyStore keyStore = App.getInstance().getKeyStoreUtil().getKeyStore();
KeyStore trustStore = App.getInstance().getKeyStoreUtil().getTrustStore();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(trustStore);
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(keyStore, keyStorePassword);
SSLContext sslCtx = SSLContext.getInstance("TLS");
sslCtx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
client.setSslSocketFactory(sslCtx.getSocketFactory());
client.setHostnameVerifier(org.apache.http.conn.ssl.SSLSocketFactory.STRICT_HOSTNAME_VERIFIER);
看看Nikolay Elenkov的博客,您也可以找到许多有用的源代码信息。
@edit
发布您的例外
@ EDIT2
在您的情况下,您需要从webservice响应中提取X509Certificate,将其存储在密钥库中,其中privatekey用于生成csr请求,并将CA证书存储在另一个密钥库中,该密钥库将用作信任库。 (它可以是相同的密钥库,但不建议这样做。)