|
7 O2 g, C5 V/ q& s/ c9 b) P 最近在忙App安全,而双向验证是第一步,本文主要记录我在双向验证过程中遇到的坑,以及解决虽然网上类似的教程贼多,但大部分基于 Tomcat… 小打小闹尚可,毕竟反代还是 Nginx 好通过本文,你将顺利获知如何实现 android 与 nginx 的双向验证。
$ y/ ~* q2 S. Z 我们以一段 Nginx 的配置开始吧:server {listen 443 ssl;server_name www.kpromise.top;ssl_certificate /etc/letsencrypt/live/kpromise.top/fullchain.pem; . X; [" Q* {2 v! f" a! t
ssl_certificate_key /etc/letsencrypt/live/kpromise.top/privkey.pem;... // 此处省略 N 多配置这里,域名是本站域名,另外配置了证书和key,这是普通的 https 配置了。
0 M- L% O1 w7 s( s/ s 接下来,我们看另外一个配置:server {listen 443 ssl;server_name api.kpromise.top;ssl_certificate /root/ssl/server.crt;
{& f d, w9 e2 Z6 z$ @# Z" O4 q ssl_certificate_key /root/ssl/server.key;ssl_password_file /root/ssl/password_file;ssl_client_certificate /root/ssl/ca.crt;
9 }) g/ @, Z: _. j- s1 q; _4 P. w ssl_verify_client optional_no_ca;location / {root /root/ssl/api/;}}这是一段中规中矩的服务端验证客户端的配置,主要变化是多了 ssl_client_certificate 这行。
& ^& n/ ?/ Z3 `! Q. l6 G 具体请看 http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate那么,这里的ca.crt 又是如何产生的呢,下面进入主题,生成证书: ) L% ?, g& H c* H1 u. D
首先,生成 ca.key 接下来签名证书的时候会用到:1、openssl genrsa -des3 -out ca.key 4096接着,生成 ca.crt 文件,crt 文件是客户端认证的证书文件,同样的,在你签名证书的时候会用到
a/ l T/ j- D) t" {, T+ ` 2、openssl req -new -x509 -days 365 -key ca.key -out ca.crt3、生成证书:openssl genrsa -des3 -out server.key 1024
8 T; P+ A8 A/ j- n6 t t! C6 X4 J openssl req -new -key server.key -out server.csr会提示你输入 Common Name 一般是你的域名哦4、用 ca.key 和 ca.crt 签名证书:openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt 3 B' ]$ m- T" x3 e8 x# [9 c
5、重复 3-4 两步,但是 -out 改为 client.x 来生成并签署另一份证书,比如:openssl genrsa -des3 -out client.key 1024openssl req -new -key client.key -out client.csr 3 S3 q" `0 M3 N
openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt6、修改 Nginx 配置为 我刚开始提供的第二份配置那样,即: # s6 X/ A& L/ t
server {listen 443 ssl;server_name api.kpromise.top;ssl_certificate /root/ssl/server.crt;ssl_certificate_key /root/ssl/server.key; 3 }9 D& k+ m) O1 l3 | ^1 A
ssl_password_file /root/ssl/password_file;ssl_client_certificate /root/ssl/ca.crt;ssl_verify_client on; # A2 q& L* d z. o) \( O v6 q2 ]
location / {root /root/ssl/api/;}}然后 把相关文件移入配置所列的目录,并执行 nginx -s reload,此时,服务端就会校验客户端证书了这里的 ssl_password_file 对应的是一个普通文件,里面是 创建证书时设置的密码哦。 . e. Z5 E' C- i
接下来,我们看下 android 端的修改首先查看 android 支持 的 keystore 类型: https://developer.android.com/reference/java/security/KeyStore#summary 大致如下:。 ( r6 P& r* f& A- X, ]. X" Z
AndroidCAStore 14+AndroidKeyStore 18+BCPKCS12 1-8BKS 1+BouncyCastle 1+PKCS12 1+PKCS12-DEF 1-8可以看得出,AndroidCAStore、PKCS12、BouncyCastle、BKS 都是不错的选择,但是我看网上资料,基本都说 转为 android 支持的类型 BKS 这又是什么鬼?明明有 PKCS12 可以选择啊。
$ a$ Q8 S* R/ l" z' u! _% K 我们接下来导出 client.p12 以及 server.p12 文件,命令如下:openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name "client" ' ]/ }1 v+ V2 F8 ^2 S3 g2 J
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name "client"然后把 client.p12 和 server.p12 都给android 客户端,android 客户端将他们放到 /src/main/assets/ 下面。
/ Z f8 V; Z, t 最后,我们修改 okhttp 吧:class SSLHelper {private var clientPw: String? = nullprivate var clientPKCSFileName: String = "client.p12"
" |! p6 Y# R: h/ z; x1 j0 R private var serverPKCSFileName: String = "server.p12"private var serverPw: String? = nullprivate val protocolType = "TLS"
' H Q/ X& W5 _1 K( G2 H/ L private val keyStoreType: String = "PKCS12"private val certificateFormat: String = "X509"fun initClient
8 w1 P z, d1 {, h3 r0 i. d (clientPKCSFileName: String, clientPw: String): SSLHelper {this.clientPKCSFileName = clientPKCSFileName - w' D4 {$ H# S/ M1 c
this.clientPw = clientPwreturn this}fun initServer(serverPKCSFileName: String, serverPw: String): SSLHelper { . w& d$ \4 [+ @( v& @
this.serverPKCSFileName = serverPKCSFileNamethis.serverPw = serverPwreturn this}fun getSSLCertification
8 K1 C: N( e& |7 A% V+ \ (context: Context): SSLSocketFactory? {if (clientPw == null) throw RuntimeException("please call initClient first...")
/ L) V% h: b c7 Y3 v if (serverPw == null) throw RuntimeException("please call initServer first...")var sslSocketFactory: SSLSocketFactory? = null # `5 w6 i% d( f! L) I
try {val clientKeyStore = KeyStore.getInstance(keyStoreType)val serverKeyStore = KeyStore.getInstance
- U8 F: K3 B$ R; q (keyStoreType)val clientPrivateKeyInputStream = context.assets.open(clientPKCSFileName)val serverPublicKeyInputStream = context.assets. 4 p( {# K9 _3 B, V6 r/ S
open(serverPKCSFileName)clientKeyStore.load(clientPrivateKeyInputStream, clientPw?.toCharArray())serverKeyStore.
, V: m8 I1 Q1 f& _, g+ ?4 | load(serverPublicKeyInputStream, serverPw?.toCharArray())clientPrivateKeyInputStream.close()serverPublicKeyInputStream.
. O4 s4 d: A% o- L close()val sslContext = SSLContext.getInstance(protocolType)val trustManagerFactory = TrustManagerFactory.
; O+ s$ ?) V% C( p% T9 {' d getInstance(certificateFormat)val keyManagerFactory = KeyManagerFactory.getInstance(certificateFormat) : \& N3 J8 e5 b. P K
trustManagerFactory.init(serverKeyStore)keyManagerFactory.init(clientKeyStore, clientPw?.toCharArray()) * |2 C$ N+ ^- O% ^
sslContext.init(keyManagerFactory.keyManagers,trustManagerFactory.trustManagers, null)sslSocketFactory = sslContext.socketFactory
2 C$ @9 d% D" G% |: } } catch (e: Exception) {e.printStackTrace()}return sslSocketFactory}}fun getBuilder(showLog: Boolean): OkHttpClient.Builder {
9 W& e* \8 _; P v- ^ m% h val builder = OkHttpClient.Builder()val sslSocketFactory = this.sslSocketFactoryif (sslSocketFactory != null) { ; {% [7 [6 P5 q1 o! t* f
builder.sslSocketFactory(sslSocketFactory)}builder.hostnameVerifier { _, _ ->true}... // 此处省略 N 多 代码完美了,当然,hostnameVerifier 你也可以指定自己的域名啊。 % y# v7 e) U6 g
遇到的天坑:在生成 ca server 以及 client 时 会 要求输入 CN 即:Common Name (e.g. server FQDN or YOUR name) 这行,请注意这三处虽然都是域名,但千万别设一样,否则会出现 400 The SSL certificate error
# ]0 G8 F9 |5 T8 m& `/ Y Y4 [! |/ R; \( v
& x& J: H0 X! [, j+ ~9 r( g+ K4 y% @' g0 j0 \ y7 I
4 M. c, V5 L$ s2 Y% W* q
| 
