Android Tomcal SSL Https 单向篇

按网上的说明尝试了好久，转载请注明来源。

双向篇还未实现，先记录单向验证方式。
一 Android直接连接tomcat
这个实现比较简单,先建立一个工作目录为tomcat。打开命令行切换到该目录。如果是win7需要用管理员身份打开命令行。

1 生成服务器端私钥（or 公钥？）
keytool -genkey -alias tomcat -keyalg RSA -keystore server.keystore -validity 3600
解释：keytool是jdk下的命令行工具。
alias 随意指定，表示别名。keyalg表示加密算法为RSA，输出文件为server.keystore
这里面需要输入密码（我们输入123456），另外注意“您的名字与姓氏是什么？”，这一项要输入tomcat所在主机的IP或域名，客户端访问tomcat时会涉及到这个地址。

2 用server.keystore生成server.cer
keytool -export -alias tomcat -file server.cer -keystore server.keystore -storepass 123456

解释：这个是浏览器可以识别的证书，用于导入浏览器。
这个时候tomcat就可以启动ssl了，以tomcat6.0为例，在server.xml中拷入（或是更改）如下片段：
<Connector SSLEnabled="true" acceptCount="100" clientAuth="false" disableUploadTimeout="true" enableLookups="true" keystoreFile="D:/cer/tomcat/server.keystore" keystorePass="123456" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS"/>
其中clientAuth="false" ，目前只搞定了单向验证。

这时启动tomcat，打开IE，输入https://ip:8443/ 会提示没有证书，但能点进去。
我们可以双击刚才生成的server.cer，把它导入“受信任的根证书颁发机构”，就能看到浏览器上的小锁了。

那我们的Android程序怎么来连接服务器呢，我们需要生成第三个文件server_trust.keystore：
3 keytool -import -alias tomcat -file server.cer -keystore server_trust.keystore -storepass 123456 -storetype BKS -providername "BC"
注意：这里的密码与前面保持一致。因为Android只支持BKS格式的，所以这里要指定类型。
你执行到这里可能会出错，因为jdk下的keytool默认没有BKS的类库。
我们需要下载bcprov-jdk15-135.jar及sunjce_provider.jar，放入jdk1.6.0_10\jre\lib\ext下面。同时要修改jdk1.6.0_10\jre\lib\security\java.security
找到security.provider.1=sun.security.provider.Sun这行，这里有好几行，在最后一行加上security.provider.10=org.bouncycastle.jce.provider.BouncyCastleProvider，我本来有9号，所以新一行的序号为10。

我们把server_trust.keystore拷入Android程序的res/raw目录下。
使用httpClient进行连接，示例代码如下：
HttpClient hc = new DefaultHttpClient();
initKey();
String url = "https://10.1.32.33:8443/SSLTestServer/SSLServlet?action=login";
Toast.makeText(SSLTestAndroidActivity.this, getData(url), 1).show();

private void initKey() throws Exception {
KeyStore trustStore = KeyStore.getInstance("BKS");
trustStore.load(getBaseContext().getResources().openRawResource(R.raw.server_trust), "123456".toCharArray());

SSLSocketFactory socketFactory = new SSLSocketFactory(trustStore);
Scheme sch = new Scheme("https", socketFactory, 8443);
hc.getConnectionManager().getSchemeRegistry().register(sch);
}

private String getData(String url) throws Exception {
HttpUriRequest hr = new HttpGet(url);
HttpResponse hres = hc.execute(hr);
HttpEntity he = hres.getEntity();
InputStream is = he.getContent();
StringBuffer sb = new StringBuffer();
byte[] bytes = new byte[1024];
for (int len = 0; (len = is.read(bytes)) != -1;) {
sb.append(new String(bytes, 0, len, "gb2312"));
}
return sb.toString();
}

对应的servlet中只是简单的response.getWriter().write("some char");

至此Android连接tomcat进行单向ssl就大功告成了，只需要生成三个文件。

下篇介绍Android通过Apache https转发到tomcat的配置。

评论

5 楼 gys12321 2015-02-27  

请问楼主我再第三步生成server_trust.keystore的时候报错，错误如下：keytool 错误: java.security.NoSuchProviderException: no such provider: BC；请楼主帮忙解决哈

4 楼 branthf 2013-10-18  

楼主，有做好的 https ssl android客户端调用和解密代码，我现在正研究这个能发资料给我么 450370187@qq.com

3 楼 angelsmiling1108 2012-04-13  

请问楼主 Wrong version of key store.是怎么回事呢？我成功生成了BK类型的keystore文件

04-13 04:02:03.203: V/initKey exception(197): Wrong version of key store.

如下是我检验我的keystore文件结果
C:\WINDOWS>keytool -list -keystore "C:\YWJ\axs.bks" -provider org.bouncycastle.j
ce.provider.BouncyCastleProvider -providerpath "C:\YWJ\bcprov-jdk16-145.jar" -st
oretype BKS -storepass 123456

Keystore type: BKS
Keystore provider: BC

Your keystore contains 1 entry

axsCA, Apr 13, 2012, trustedCertEntry,
Certificate fingerprint (MD5): 60:13:24:F0:9A:E9:88:49:58:1B:37:C9:A1:90:57:24

2 楼 anjxue 2012-03-15  

yelwen000 写道

hc.getConnectionManager().getSchemeRegistry().register(sch);
请教下我的这句话怎么就报错了啊

是编译错误还是执行出错呢，编译错误可能是你的包不对
执行出错可能是你的证书路径不对

1 楼 yelwen000 2011-10-20  

hc.getConnectionManager().getSchemeRegistry().register(sch);
请教下我的这句话怎么就报错了啊