android - 使用 SpongyCastle 使用来自 PKCS#10 的客户端证书创建 Https 连接

Question

目标

我正在努力实现与客户证书的通信。

第 1 步：创建一个 PKCS#10 请求 (CSR) 并将其提供给我的服务器进行签名。服务器联系人将 CSR 传递给 CA，CA 对其进行签名，并返回一个 PKCS#7（带有签名的 PKCS#10 和 CA 的证书）。

第 2 步：创建 PKCS#12，将其安全地存储在 Android 设备上

步骤 3：创建 SSL 连接，以便客户端根据证书进行身份验证。

现在，第 1 步使用 SpongyCastle 1.50.0.0 完美运行，但我被困在其他步骤上……我目前遇到 SSL-Handshake 异常，但我觉得我应该重新考虑我的实施。

问题

有谁知道如何实现流程？如何创建和存储客户端证书所需的任何内容以与 Android 的 SSLContext 一起工作，以及如何创建这样的 SSLContext？

到目前为止我尝试了什么

我的第一次尝试是使用KeyChain，但我们想避免那里描述的用户交互。我的第二次尝试是按照Rich Freedman 的步骤，但我不知道如何从 PKCS#7 和私钥创建 PKCS#12。对于持久性，我浏览了这篇文章，但是 (a) 它是 C#，(b) 它是未加密的，并且 (c) 我认为 android 平台具有更好的密钥持久性机制，我对此一无所知。最后，这段代码（用于从 PEM 和 PKCS#7 创建 PKCS12）效果不佳，因为我不知道如何获取 CER 文件以及它需要的其他内容。

谢谢！

Answer 1

也许不是最好的代码，但它有效，它并没有严格回答你所有的问题，但也许你会找到可以使用的部分。

你的流程很好，我正在做几乎同样的事情。

我将密钥保存在动态创建的密钥库中。另外，我有使用 openssl 工具创建的带有可信证书的密钥库。

对于通信，我使用了 okHttp + 改造

https://github.com/square/okhttp https://github.com/square/retrofit

生成KeyPair：

public static KeyPair generateKeyPair() throws NoSuchAlgorithmException {
    KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
    keyPairGenerator.initialize(2048);
    KeyPair keyPair = keyPairGenerator.genKeyPair();
    return keyPair;
}

生成csr：

private static PKCS10CertificationRequest generateCSRFile(KeyPair keyPair) throws IOException, OperatorCreationException {
    String principal = "CN=company1, OU=company1, O=company1, C=GB";
    AsymmetricKeyParameter privateKey = PrivateKeyFactory.createKey(keyPair.getPrivate().getEncoded());
    AlgorithmIdentifier signatureAlgorithm = new DefaultSignatureAlgorithmIdentifierFinder()
            .find("SHA1WITHRSA");
    AlgorithmIdentifier digestAlgorithm = new DefaultDigestAlgorithmIdentifierFinder().find("SHA-1");
    ContentSigner signer = new BcRSAContentSignerBuilder(signatureAlgorithm, digestAlgorithm).build(privateKey);

    PKCS10CertificationRequestBuilder csrBuilder = new JcaPKCS10CertificationRequestBuilder(new X500Name(
            principal), keyPair.getPublic());
    ExtensionsGenerator extensionsGenerator = new ExtensionsGenerator();
    extensionsGenerator.addExtension(X509Extension.basicConstraints, true, new BasicConstraints(true));
    extensionsGenerator.addExtension(X509Extension.keyUsage, true, new KeyUsage(KeyUsage.keyCertSign
            | KeyUsage.cRLSign));
    csrBuilder.addAttribute(PKCSObjectIdentifiers.pkcs_9_at_extensionRequest, extensionsGenerator.generate());
    PKCS10CertificationRequest csr = csrBuilder.build(signer);

    return csr;
}

发送 csr（您可能需要将其转换为 pem 格式），接收证书。

初始化密钥库：

KeyStore store = KeyStore.getInstance("BKS");
InputStream in;
try {
    in = App.getInstance().getApplicationContext().openFileInput(filename);
        try {
            store.load(in, password);
        } finally {
            in.close();
        }
    } catch (FileNotFoundException e) {
        //create new keystore
        store.load(null, password);
    }

初始化信任库：

KeyStore trustStore = KeyStore.getInstance("BKS");
InputStream in = App.getInstance().getApplicationContext().getResources().openRawResource(R.raw.truststore);
try {
    trustStore.load(in, trustorePassword);
} finally {
    in.close();
}

将密钥添加到密钥库（确保您的私钥和证书匹配，如果它们不匹配，密钥库不会抛出异常，并且使用 okHttp 这可能会导致 libssl 崩溃（仅在 api 低于 4.1 的设备上）：

keyStore.setKeyEntry(alias, privateKey, password, new X509Certificate[]{certificate});

用自己的方式创建 okHttpClient SSLContext：

OkHttpClient client = new OkHttpClient();
KeyStore keyStore = App.getInstance().getKeyStoreUtil().getKeyStore();
KeyStore trustStore = App.getInstance().getKeyStoreUtil().getTrustStore();

TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(trustStore);

KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(keyStore, keyStorePassword);

SSLContext sslCtx = SSLContext.getInstance("TLS");
sslCtx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
client.setSslSocketFactory(sslCtx.getSocketFactory());
client.setHostnameVerifier(org.apache.http.conn.ssl.SSLSocketFactory.STRICT_HOSTNAME_VERIFIER);

查看 Nikolay Elenkov 博客，您还可以找到许多有用的信息以及源代码。

• http://nelenkov.blogspot.com/
• http://nelenkov.blogspot.com/2011/11/using-ics-keychain-api.html
• http://nelenkov.blogspot.in/2011/12/ics-trust-store-implementation.html
• http://nelenkov.blogspot.com/2011/12/using-custom-certificate-trust-store-on.html
• http://nelenkov.blogspot.com/2012/05/storing-application-secrets-in-androids.html
• http://nelenkov.blogspot.com/2013/08/credential-storage-enhancements-android-43.html

@编辑

发布您的例外

@edit2

在您的情况下，您需要X509Certificate从 Web 服务响应中提取您的响应，将其存储在密钥库中，并使用用于生成 csr 请求的私钥并将 CA 证书存储在另一个将用作信任库的密钥库中。（可以是同一个密钥库，但不推荐）。