android - 使用 SpongyCaSTLe 从 PKCS#10 创建带有客户端证书的 Https 连接

Question

目标

我正在努力实现与 Client-Certificate 的通信。

第 1 步:创建 PKCS#10 请求 (CSR) 并将其提供给我的服务器进行签名。服务器联系将 CSR 传递给 CA，CA 对其进行签名，然后返回 PKCS#7(带有签名的 PKCS#10 和 CA 的证书)。

第 2 步:创建 PKCS#12，将其安全地存储在 Android 设备上

第三步:创建SSL连接，客户端根据证书进行认证。

现在，第 1 步使用 SpongyCaSTLe 1.50.0.0 完美运行，但我在其他步骤上遇到困难... 我目前遇到 SSL 握手异常，但我觉得我应该重新考虑我的实现。

问题

有谁知道如何实现流程？如何创建和存储客户端证书与 Android 的 SSLContext 一起工作所需的任何内容，以及如何创建这样的 SSLContext？

到目前为止我尝试了什么

我的第一次尝试是使用 KeyChain ，但我们希望避免此处描述的用户交互。我的第二次尝试是关注 Rich Freedman's steps ，但我不知道如何从 PKCS#7 和私钥创建 PKCS#12。为了坚持，我翻了一遍this post ，但是 (a) 它是 C#，(b) 它是未加密的，并且 (c) 我认为 android 平台有更好的 key 持久性机制，我对此一无所知。最后，this code (用于从 PEM 和 PKCS#7 创建 PKCS12)效果不佳，因为我不知道如何获取 CER 文件及其所需的其他内容。

谢谢!

Answer 1

也许不是最好的代码，但它可以工作，它不会严格回答您所有的问题，但也许您会找到可以使用的部分。

你的流程很好，我也在做几乎同样的事情。

我将我的 key 保存在动态创建的 keystore 中。此外，我还有使用 openssl 工具创建的带有受信任证书的 keystore 。

我使用 okHttp + retrofit 进行通信

https://github.com/square/okhttp https://github.com/square/retrofit

生成 key 对:

public static KeyPair generateKeyPair() throws NoSuchAlgorithmException {
    KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
    keyPairGenerator.initialize(2048);
    KeyPair keyPair = keyPairGenerator.genKeyPair();
    return keyPair;
}

生成 csr:

private static PKCS10CertificationRequest generateCSRFile(KeyPair keyPair) throws IOException, OperatorCreationException {
    String principal = "CN=company1, OU=company1, O=company1, C=GB";
    AsymmetricKeyParameter privateKey = PrivateKeyFactory.createKey(keyPair.getPrivate().getEncoded());
    AlgorithmIdentifier signatureAlgorithm = new DefaultSignatureAlgorithmIdentifierFinder()
            .find("SHA1WITHRSA");
    AlgorithmIdentifier digestAlgorithm = new DefaultDigestAlgorithmIdentifierFinder().find("SHA-1");
    ContentSigner signer = new BcRSAContentSignerBuilder(signatureAlgorithm, digestAlgorithm).build(privateKey);

    PKCS10CertificationRequestBuilder csrBuilder = new JcaPKCS10CertificationRequestBuilder(new X500Name(
            principal), keyPair.getPublic());
    ExtensionsGenerator extensionsGenerator = new ExtensionsGenerator();
    extensionsGenerator.addExtension(X509Extension.basicConstraints, true, new BasicConstraints(true));
    extensionsGenerator.addExtension(X509Extension.keyUsage, true, new KeyUsage(KeyUsage.keyCertSign
            | KeyUsage.cRLSign));
    csrBuilder.addAttribute(PKCSObjectIdentifiers.pkcs_9_at_extensionRequest, extensionsGenerator.generate());
    PKCS10CertificationRequest csr = csrBuilder.build(signer);

    return csr;
}

发送csr(可能需要转成pem格式)，接收证书。

初始化 keystore :

KeyStore store = KeyStore.getInstance("BKS");
InputStream in;
try {
    in = App.getInstance().getApplicationContext().openFileInput(filename);
        try {
            store.load(in, password);
        } finally {
            in.close();
        }
    } catch (FileNotFoundException e) {
        //create new keystore
        store.load(null, password);
    }

初始化信任库:

KeyStore trustStore = KeyStore.getInstance("BKS");
InputStream in = App.getInstance().getApplicationContext().getResources().openRawResource(R.raw.truststore);
try {
    trustStore.load(in, trustorePassword);
} finally {
    in.close();
}

将 key 添加到 keystore (确保您的私钥和证书匹配，如果不匹配， keystore 不会抛出异常，并且使用 okHttp 这可能导致 libssl 崩溃(仅在 api 低于 4.1 的设备上):

keyStore.setKeyEntry(alias, privateKey, password, new X509Certificate[]{certificate});

用它自己的 SSLContext 创建 okHttpClient:

OkHttpClient client = new OkHttpClient();
KeyStore keyStore = App.getInstance().getKeyStoreUtil().getKeyStore();
KeyStore trustStore = App.getInstance().getKeyStoreUtil().getTrustStore();

TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(trustStore);

KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(keyStore, keyStorePassword);

SSLContext sslCtx = SSLContext.getInstance("TLS");
sslCtx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
client.setSslSocketFactory(sslCtx.getSocketFactory());
client.setHostnameVerifier(org.apache.http.conn.ssl.SSLSocketFactory.STRICT_HOSTNAME_VERIFIER);

查看 Nikolay Elenkov 博客，您还可以找到许多有用的信息以及源代码。

• http://nelenkov.blogspot.com/
• http://nelenkov.blogspot.com/2011/11/using-ics-keychain-api.html
• http://nelenkov.blogspot.in/2011/12/ics-trust-store-implementation.html
• http://nelenkov.blogspot.com/2011/12/using-custom-certificate-trust-store-on.html
• http://nelenkov.blogspot.com/2012/05/storing-application-secrets-in-androids.html
• http://nelenkov.blogspot.com/2013/08/credential-storage-enhancements-android-43.html

@编辑

发布你的异常

@edit2

在您的情况下，您需要从 web 服务响应中提取您的 X509Certificate，将其存储在 keystore 中，其中包含用于生成 csr 请求的私钥，并将 CA 证书存储在另一个将用作信任库的 keystore 中。 (可以是同一个keystore，但不推荐)。