android https——okhttp实现https请求

定义：

HTTPS全称为Hypertext Transfer Protocol over Secure Socket Layer

中文含义为“超文本传输协议在安全加密字层”

简单来说就是加密数据传输和安全连接。https和http有什么区别

在HTTP的之下加入了SSL (Secure Socket Layer)，安全的基础就靠SSL。

SSL位于TCP/IP和HTTP协议之间

https与http的区别：

●https更安全

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全。

●https需要申请证书

https协议需要到ca申请证书，一般免费证书很少，需要交费，费用大概与.COM域名差不多，每年需要交大约几十元的费用。而常见的http协议则没有这一项；

●端口不同

http使用的是大家最常见的80端口，而https连接使用的是443端口；

●状态不同

http的连接很简单,是无状态的。而HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全

google官方推荐的android网络请求框架okhttp已经集成了https的使用方法，我们只需要按照api去调用即可。

使用okhttp实现https请求

首先要搞清楚https的请求需要什么，可以从上面描述中看出，我们需要一份ca证书。

购买的证书，格式为.pfx，带有公钥和私钥，附带一个密码。还有一种格式为.cer的证书，这种证书是没有私钥的。

服务器会将证书配置到tomcat中，客户端则存放在本地，app启动的时候加载进去。

.pfx格式和.cer格式的区别：

1.带有私钥的证书

　　由Public Key Cryptography Standards #12，PKCS#12标准定义，包含了公钥和私钥的二进制格式的证书形式，以pfx作为证书文件后缀名。

　　

2.二进制编码的证书

　　证书中没有私钥，DER 编码二进制格式的证书文件，以cer作为证书文件后缀名。

3.Base64编码的证书

证书中没有私钥，BASE64 编码格式的证书文件，也是以cer作为证书文件后缀名。

更多具体区别：

.pfx格式和.cer格式的区别

在okhttp中配置ca证书：

将ca证书放在本地，这里我们使用.pfx格式的证书srca.pfx：

单向验证

虽然我使用的是二次封装okhttp的retrofit，但是这个配置还是属于okhttp的。

有两种写法，先展示一种接近okhttp官方写法的方法，官方api写法不够简洁

/**
* 设置ihttps证书验证
*/
private void setCertificates(Context context) {
try {
//将ca证书导入输入流
InputStream inputStream = context.getResources().openRawResource(R.raw.aaa);

//keystore添加证书内容和密码
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(inputStream, CLIENT_KET_PASSWORD.toCharArray());

//证书工厂类，生成证书
CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
//生成证书，添加别名
keyStore.setCertificateEntry("test1", certificateFactory.generateCertificate(inputStream));

//信任管理器工厂
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init(keyStore);

//构建一个ssl上下文，加入ca证书格式，与后台保持一致
SSLContext sslContext = SSLContext.getInstance("TLS");
//参数，添加受信任证书和生成随机数
sslContext.init(null, trustManagerFactory.getTrustManagers(), new SecureRandom());

//获得scoket工厂
SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
mOkHttpClient.sslSocketFactory(sslSocketFactory);

//设置ip授权认证：如果已经安装该证书，可以不设置，否则需要设置
mOkHttpClient.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
return true;
}
});
inputStream.close();
} catch (Exception e) {
e.printStackTrace();
}

}

第二种写法，同样有效

/**
* 设置ihttps证书验证
*/
private void setCertificates(Context context) {
try {
//将ca证书导入输入流
InputStream inputStream = context.getResources().openRawResource(R.raw.aaa);

//keystore添加证书内容和密码
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(inputStream, CLIENT_KET_PASSWORD.toCharArray())

//key管理器工厂
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
keyManagerFactory.init(keyStore, CLIENT_KET_PASSWORD.toCharArray());

//构建一个ssl上下文，加入ca证书格式，与后台保持一致
SSLContext sslContext = SSLContext.getInstance("TLS");

//参数，添加受信任证书和生成随机数
sslContext.init(keyManagerFactory.getKeyManagers(), null, new SecureRandom());

//获得scoket工厂
SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
mOkHttpClient.sslSocketFactory(sslSocketFactory);

//设置ip授权认证：如果已经安装该证书，可以不设置，否则需要设置
mOkHttpClient.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
return true;
}
});
inputStream.close();
} catch (Exception e) {
e.printStackTrace();
}

}

值得注意的是，keystore的格式

keystore拓展名对应格式：
//JKS:.jks/.ks
//JCEKS:.jce
//PKCS12:.p12/.pfx
//BKS:.bks
//UBER:.ubr

所以，如果你的ca证书用的是.pfx，那么可以这样写：

KeyStore keyStore = KeyStore.getInstance("PKCS12");

如果是.cer的话那么，就用

KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());

双向验证

双向验证的前提是，你的app同样生成一个jks的密钥文件，服务器那边会同时有个“cer文件”与之对应。

假如：

客户端的加密文件叫：test1.jks

服务器的加密文件叫：test2.cer

如何通过jks文件生成对应的cer文件？

接下来利用test1.jks来签发证书，可以在android studio中，也可以在windows的dos中生成：

keytool -export -alias test1.jks

-file test2.cer

-keystore test1.jks

-storepass 123456

即可生成包含公钥的证书test2.cer。

首先配置tomcat服务器：

Connector标签，需要添加些属性：

<Connector   SSLEnabled="true" acceptCount="100" clientAuth="false"
disableUploadTimeout="true" enableLookups="true" keystoreFile="" keystorePass="123456" maxSpareThreads="75"
maxThreads="200" minSpareThreads="5" port="8443"
protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https"
secure="true" sslProtocol="TLS"
<!-- 以上代码是服务器配置https的tomcat配置， 以下是在https单向验证的基础上的双向验证-->
clientAuth="true"
truststoreFile="/Users/zhy/temp/test2.cer"
/>

注意：如果tomcat中报错keystore文件格式不正确，则我们再将cer文件转换成jks文件：

keytool -import -alias test2.cer

-file test2.cer -keystore test3.jks

配置客户端：

/**
* 设置ihttps证书验证
*/
private void setCertificates(Context context) {
try {
//将ca证书导入输入流
InputStream inputStream = context.getResources().openRawResource(R.raw.aaa);

//keystore添加证书内容和密码
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(inputStream, CLIENT_KET_PASSWORD.toCharArray());

//证书工厂类，生成证书
CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");

//生成证书，添加别名
keyStore.setCertificateEntry("test1", certificateFactory.generateCertificate(inputStream));

//信任管理器工厂
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init(keyStore);

//双向验证，配置服务器验证客户端的证书
InputStream inputStream1 = context.getResources().openRawResource(R.raw.bbb);
KeyStore keyStore1 = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore1.load(inputStream1, CLIENT_KET_PASSWORD_1.toCharArray());
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
keyManagerFactory.init(keyStore1, CLIENT_KET_PASSWORD_1.toCharArray());

//构建一个ssl上下文，加入ca证书格式，与后台保持一致
SSLContext sslContext = SSLContext.getInstance("TLS");
//参数，添加受信任证书和生成随机数
sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());
//获得scoket工厂
SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
mOkHttpClient.sslSocketFactory(sslSocketFactory);
//设置ip授权认证：如果已经安装该证书，可以不设置，否则需要设置
mOkHttpClient.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
return true;
}
});
inputStream.close();
} catch (Exception e) {
e.printStackTrace();
}

}

注意：

Java平台默认识别jks格式的证书文件，但是android平台只识别bks格式的证书文件，所以这里还需要将jks的文件转成bks

最后给出okhttp官方https的api方法

CustomTrust.java