Java Android客户端接受服务器证书但服务器未获得客户端证书时SSL相互身份验证失败

我正在尝试在Linux服务器和Android应用程序之间建立一个相互验证的SSL。 到目前为止，我已经能够让应用程序通过SSL与服务器证书通信，但一旦我将服务器设置为仅接受客户端证书，它就会停止工作。服务器配置似乎还可以，但我有点卡住了。我最好的猜测是，客户端证书没有正确地呈现给服务器，但不知道接下来如何测试它。我尝试在我的OSX密钥链中为客户端使用.pem，但浏览器似乎无法使用该证书。然后，服务器证书再次完美地工作，因为我可以实现https连接，并且应用程序接受我的未签名服务器证书

我一直在使用的代码是各种教程的组合，答案这是我加入书签的主要教程：

• （用于服务器配置）

这是我用于连接的两个主要类： 1） 此类处理JSON解析并执行请求

package edu.hci.additional;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.io.UnsupportedEncodingException;
import java.util.List;

import android.content.Context;
import org.apache.http.HttpEntity;
import org.apache.http.HttpResponse;
import org.apache.http.NameValuePair;
import org.apache.http.client.ClientProtocolException;
import org.apache.http.client.entity.UrlEncodedFormEntity;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.client.utils.URLEncodedUtils;
import org.json.JSONException;
import org.json.JSONObject;

import android.util.Log;

public class JSONParser {

    static InputStream is = null;
    static JSONObject jObj = null;
    static String json = "";

    // constructor
    public JSONParser() {

    }

    // function get json from url
    // by making HTTP POST or GET mehtod
    public JSONObject makeHttpRequest(String url, String method,
            List<NameValuePair> params, Context context) {

        // Making HTTP request
        try {

            // check for request method
            if(method == "POST"){
                // request method is POST
                // defaultHttpClient
                SecureHttpClient httpClient = new SecureHttpClient(context);
                HttpPost httpPost = new HttpPost(url);
                httpPost.setEntity(new UrlEncodedFormEntity(params));

                HttpResponse httpResponse = httpClient.execute(httpPost);
                HttpEntity httpEntity = httpResponse.getEntity();
                is = httpEntity.getContent();

            }else if(method == "GET"){
                // request method is GET
                SecureHttpClient httpClient = new SecureHttpClient(context);
                String paramString = URLEncodedUtils.format(params, "utf-8");
                url += "?" + paramString;
                HttpGet httpGet = new HttpGet(url);

                HttpResponse httpResponse = httpClient.execute(httpGet);
                HttpEntity httpEntity = httpResponse.getEntity();
                is = httpEntity.getContent();
            }           


        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        } catch (ClientProtocolException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        }

        try {
            BufferedReader reader = new BufferedReader(new InputStreamReader(
                    is, "iso-8859-1"), 8);
            StringBuilder sb = new StringBuilder();
            String line = null;
            while ((line = reader.readLine()) != null) {
                sb.append(line + "\n");
            }
            is.close();
            json = sb.toString();
        } catch (Exception e) {
            Log.e("Buffer Error", "Error converting result " + e.toString());
        }

        // try parse the string to a JSON object
        try {
            jObj = new JSONObject(json);
        } catch (JSONException e) {
            Log.e("JSON Parser", "Error parsing data " + e.toString());
        }

        // return JSON String
        return jObj;

    }
}

要创建密钥，我将openssl与此命令一起使用：

openssl req -nodes -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 500

为了获得Android版BKS的密钥，我使用了bouncy castle bcprov-jdk15on-150.jar，位于：

并使用命令：

keytool -import -v -trustcacerts -alias 0 -file ~/cert.pem -keystore ~/Downloads/authclientcerts.bks -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath ~/Downloads/bcprov-jdk15on-150.jar -storepass passWORD

最后，我添加到/etc/httpd/conf.d/ssl.conf的行需要客户端证书并检查证书有效性（与我在Fedora 19中创建的客户端证书相匹配），它们是：

...
SSLVerifyClient require
SSLVerifyDepth  5
...
<Location />
SSLRequire (    %{SSL_CLIENT_S_DN_O} eq "Develop" \
            and %{SSL_CLIENT_S_DN_OU} in {"Staff", "Operations", "Dev"} )
</Location>
...
SSLOptions +FakeBasicAuth +StrictRequire

这将创建一个名为“f3f24175.0”的openSSL可读符号链接

然后在/etc/httpd/conf.d/ssl.conf配置文件中设置新的证书文件

…
SSLCACertificateFile /etc/pki/tls/certs/f2f62175.0
…

现在重新启动http服务并 测试证书是否加载了以下内容：

openssl verify -CApath /etc/pki/tls/certs/ f2f62175.0

如果一切正常，您应该看到：

f3f24175.0：正常

您可以通过以下方式结束测试：

openssl s_client -connect example.com:443 -CApath /etc/pki/tls/certs

这将返回受信任的客户端证书列表（如果您看到添加的证书，则该证书正在工作）

问题的第二部分是我的authclientcerts.BKS不包含私钥，因此我提供的密码从未使用过，服务器也不会对证书进行身份验证。因此我将密钥和证书导出到pkcs12，并相应地更新了JAVA代码

导出命令：

openssl pkcs12 -export -in ~/cert.pem -inkey ~/key.pem > android_client_p12.p12

然后，我更改了SecureHttpClient.java类的部分，使客户端证书使用PKCS12而不是BKS

将密钥存储类型从BKS更改为PKCS12 我替换了：

final KeyStore clientCert = KeyStore.getInstance("BKS”);

为此：

final KeyStore clientCert = KeyStore.getInstance("PKCS12");

final InputStream client_inputStream = appContext.getResources().openRawResource(R.raw.android_client_p12);

然后我更新了对res/raw上实际密钥存储文件的引用/ 通过替换：

final InputStream client_inputStream = appContext.getResources().openRawResource(R.raw.authclientcerts);

为此：

final KeyStore clientCert = KeyStore.getInstance("PKCS12");

final InputStream client_inputStream = appContext.getResources().openRawResource(R.raw.android_client_p12);

---

这就成功了：D

当服务器请求客户端证书时，它提供了一个CA列表，它将接受由其签名的证书。如果客户端没有其中一个签名的证书，它将不会发送证书作为回复。如果服务器配置为需要客户端证书，而不是只需要一个，那么它将关闭连接

---

因此，请确保客户机拥有服务器信任库可接受的证书。

谢谢您的回答，我已经解决了问题。我通过相互认证成功地将Android应用程序与服务器连接起来。非常感谢您花时间回答。我将在几分钟内添加一个更新，其中包含完整的解决方案和我必须更正的内容。