Android通过Apache的https转发访问tomcat

fengda

原创文章，转载请注明来源

上一篇文章http://anjxue.iteye.com/blog/1140275
讲解了Android怎么与tomcat建立基于ssl的https连接。

但在我们的生产环境中，为了数据安全，手机终端不能直接连tomcat,中间需要一台中转机，这台中转机（或叫前置机）只做数据转发的作用，不参与逻辑处理。
我们采用Apache Http Server来做中转机，需要下载带openssl的那个版本。

这里就碰到问题了，前面我们做Android与Tomcat的证书时，使用的keytool命令行，但是Apache服务器需要的证书格式要通过openssl来做，这就涉及到格式的转换问题。

我们先实现apache的https服务的配置，然后再说证书格式怎么转换。
新建工作目录apache，切换到该目录。先使用openssl命令生成5个文件：
1 openssl genrsa -out server.key 1024
解释：服务器私钥，大概也许未必是。
2 openssl req -new -out server.csr -key server.key -config openssl.cnf
解释：用server.key生成一个server.csr这里面需要一个配置文件openssl.cnf，我们从apache服务器conf目录下找到它，拷到我们的工作目录里。
这里也要输入各种信息，Country Name输入cn，Common Name输入服务器IP，其他随便。
3 openssl genrsa  -out ca.key 1024
解释：生成ca密钥
4 openssl req  -new -x509 -days 365 -key ca.key -out ca.crt  -config openssl.cnf
解释：生成ca.crt，这里输入的内容要跟第二步一样！否则会报错。
5 openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
解释：输入为server.csr,ca.key,ca.crt,输出：server.crt
这里会报错的，我们需要在工作目录下新建个目录：demoCA
里面建三个东东：1 空文件夹newcerts 2 空白文档index.txt 3 文件serial，没扩展名，里面内容为01。建好几个文件后重新执行第5步。
到这里apache的证书就生成完毕了，接下来修改apache的配置以支持https，另外一并配置好地址转发。
1 打开apache的conf目录下的httpd.conf
把几个模块前的井号去掉以启用。具体包括：
mod_proxy.so
mod_proxy_http.so 这两个是为了转发用的
mod_ssl.so 以支持https
另外把这句前的注释去掉：
Include conf/extra/httpd-ssl.conf
在文件的最下方加入如下代码片段：
SSLProxyEngine on
ProxyRequests Off
ProxyPass /SSLTestServer/ https://10.1.252.194:8443/SSLTestServer/
ProxyPassReverse /SSLTestServer/ https://10.1.252.194:8443/SSLTestServer/

这里指定了转发规则：将请求本机的SSLTestServer相应地址转发到194主机上。194主机即第一篇中我们配置的tomcat。而本机为33

2 继续修改 apache的conf/extra下的httpd-ssl.conf
这里面监听端口我改成了8443：Listen 8443
找到这段：
#SSLCertificateFile "E:/dev/Apache2.2/conf/server.crt"
把井号去掉，把地址改为我们刚才生成的crt地址，如
SSLCertificateFile "D:/cer/apache/server.crt"

再找到这段：
#SSLCertificateKeyFile "E:/dev/Apache2.2/conf/server.key"
改成
SSLCertificateKeyFile "D:/cer/apache/server.key"

这两个文件是我们上述5个文件中的两个。

到此好像也许差不多就可以启动apache了。
启动后测试转发功能正常。

我们打开IE输入https://本机地址:8443/SSLTestServer/×××
会转发到https://10.1.252.194:8443/SSLTestServer/×××

这里有个疑惑的地方，两台主机都是https的，我们的浏览器要用哪个的证书呢？
我初步测试是使用apache的证书，同样导入受信任的根里面去，就能看到锁了。
但这样也许本机与194之间是不加密的，待后续验证。

最后一步：android程序
遍观这5个文件，跟第一篇里的3个文件比较，发现这里是使用openssl生成的，前面是keytool生成的，格式不同。
没有一个keystore文件给android用，怎么办呢？
最后两步如下：
1 openssl x509 -in server.crt -out server.cer
解释:crt转cer
2 keytool -import -alias serverkey -file server.cer -keystore server_trust.keystore -storepass 123456 -storetype BKS -providername "BC"
解释：生成android识别的bks格式密钥

把这个server_trust.keystore放到android的raw里，代码跟前一篇相同，大功告成。

遗留问题：
1 双向验证
2 中转机与目的机间的数据加密。
有空再搞。