记录一次Android11系统证书安装失败

于 2024-08-23 11:33:25 发布
阅读量594 收藏 7
点赞数 5
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qunimaode/article/details/141461188
版权

背景

从设置里面安装证书,提示报错。
一种是只有公钥的证书,系统提示需要私钥。
一种是带私钥的证书,系统反复提示输入密码。

原因

只有公钥证书

只有公钥的证书,Android会检查证书的CA属性,如果不包含或者CA=false,则提示需要私钥。
这里的CA属性与机构无关,只是签发证书的时候:basicConstraints=CA:TRUE

解决

签发是增加以上即可,类似信息如下:

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:TRUE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost
IP.2 = 127.0.0.1
DNS.3 = test.com
DNS.4 = *.test.com

包含私钥的证书

反复提示的输入:1.密码错误,重新确认密码;2证书解析失败。
本次遇到是第二种情况,主要是证书使用的算法:

oid(1.2.840.113549.1.5.12) PBKDF2

系统无法识别这个OID SecretKeyFactory。没有任何provider支持。
原生BC provider是支持的。
从代码发现,Android支持的BC provider 去掉这个的声明:
com.android.internal.org.bouncycastle.jcajce.provider.symmetric.PBEPBKDF2.java

 public static class Mappings
       extends AlgorithmProvider
   {
       private static final String PREFIX = PBEPBKDF2.class.getName();

       public Mappings()
       {
       }

       public void configure(ConfigurableProvider provider)
       {
           // Android-note: Provided classes differ significantly from upstream.
           // Before BC 1.56, this class was omitted in Android and the algorithms we desired
           // were provided in org.bouncycastle.jcajce.provider.digest.SHA1.  During that
           // time, Android added some additional versions of these algorithms for fixed key sizes.
           // BC eventually consolidated the algorithms into this class.  As a result, when
           // upgrading to BC 1.56, we added this class but replaced its contents with
           // our versions.
           // BEGIN Android-removed: Bouncy Castle versions of algorithms.
           /*
           provider.addAlgorithm("AlgorithmParameters.PBKDF2", PREFIX + "$AlgParams");
           provider.addAlgorithm("Alg.Alias.AlgorithmParameters." + PKCSObjectIdentifiers.id_PBKDF2, "PBKDF2");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2", PREFIX + "$PBKDF2withUTF8");
           provider.addAlgorithm("Alg.Alias.SecretKeyFactory.PBKDF2WITHHMACSHA1", "PBKDF2");
           provider.addAlgorithm("Alg.Alias.SecretKeyFactory.PBKDF2WITHHMACSHA1ANDUTF8", "PBKDF2");
           provider.addAlgorithm("Alg.Alias.SecretKeyFactory." + PKCSObjectIdentifiers.id_PBKDF2, "PBKDF2");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WITHASCII", PREFIX + "$PBKDF2with8BIT");
           provider.addAlgorithm("Alg.Alias.SecretKeyFactory.PBKDF2WITH8BIT", "PBKDF2WITHASCII");
           provider.addAlgorithm("Alg.Alias.SecretKeyFactory.PBKDF2WITHHMACSHA1AND8BIT", "PBKDF2WITHASCII");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WITHHMACSHA224", PREFIX + "$PBKDF2withSHA224");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WITHHMACSHA256", PREFIX + "$PBKDF2withSHA256");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WITHHMACSHA384", PREFIX + "$PBKDF2withSHA384");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WITHHMACSHA512", PREFIX + "$PBKDF2withSHA512");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WITHHMACSHA3-224", PREFIX + "$PBKDF2withSHA3_224");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WITHHMACSHA3-256", PREFIX + "$PBKDF2withSHA3_256");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WITHHMACSHA3-384", PREFIX + "$PBKDF2withSHA3_384");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WITHHMACSHA3-512", PREFIX + "$PBKDF2withSHA3_512");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WITHHMACGOST3411", PREFIX + "$PBKDF2withGOST3411");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WITHHMACSM3", PREFIX + "$PBKDF2withSM3");
           */
           // END Android-removed: Bouncy Castle versions of algorithms.
           // BEGIN Android-added: Android versions of algorithms.
           provider.addAlgorithm("Alg.Alias.SecretKeyFactory.PBKDF2WithHmacSHA1AndUTF8", "PBKDF2WithHmacSHA1");
           provider.addAlgorithm("Alg.Alias.SecretKeyFactory.PBKDF2with8BIT", "PBKDF2WithHmacSHA1And8BIT");
           provider.addAlgorithm("Alg.Alias.SecretKeyFactory.PBKDF2withASCII", "PBKDF2WithHmacSHA1And8BIT");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WithHmacSHA1", PREFIX + "$PBKDF2WithHmacSHA1UTF8");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WithHmacSHA224", PREFIX + "$PBKDF2WithHmacSHA224UTF8");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WithHmacSHA256", PREFIX + "$PBKDF2WithHmacSHA256UTF8");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WithHmacSHA384", PREFIX + "$PBKDF2WithHmacSHA384UTF8");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WithHmacSHA512", PREFIX + "$PBKDF2WithHmacSHA512UTF8");
           provider.addAlgorithm("SecretKeyFactory.PBEWithHmacSHA1AndAES_128", PREFIX + "$PBEWithHmacSHA1AndAES_128");
           provider.addAlgorithm("SecretKeyFactory.PBEWithHmacSHA224AndAES_128", PREFIX + "$PBEWithHmacSHA224AndAES_128");
           provider.addAlgorithm("SecretKeyFactory.PBEWithHmacSHA256AndAES_128", PREFIX + "$PBEWithHmacSHA256AndAES_128");
           provider.addAlgorithm("SecretKeyFactory.PBEWithHmacSHA384AndAES_128", PREFIX + "$PBEWithHmacSHA384AndAES_128");
           provider.addAlgorithm("SecretKeyFactory.PBEWithHmacSHA512AndAES_128", PREFIX + "$PBEWithHmacSHA512AndAES_128");
           provider.addAlgorithm("SecretKeyFactory.PBEWithHmacSHA1AndAES_256", PREFIX + "$PBEWithHmacSHA1AndAES_256");
           provider.addAlgorithm("SecretKeyFactory.PBEWithHmacSHA224AndAES_256", PREFIX + "$PBEWithHmacSHA224AndAES_256");
           provider.addAlgorithm("SecretKeyFactory.PBEWithHmacSHA256AndAES_256", PREFIX + "$PBEWithHmacSHA256AndAES_256");
           provider.addAlgorithm("SecretKeyFactory.PBEWithHmacSHA384AndAES_256", PREFIX + "$PBEWithHmacSHA384AndAES_256");
           provider.addAlgorithm("SecretKeyFactory.PBEWithHmacSHA512AndAES_256", PREFIX + "$PBEWithHmacSHA512AndAES_256");
           provider.addAlgorithm("SecretKeyFactory.PBKDF2WithHmacSHA1And8BIT", PREFIX + "$PBKDF2WithHmacSHA18BIT");
           // END Android-added: Android versions of algorithms.
       }
   }

上面代码注释中的:
provider.addAlgorithm(“Alg.Alias.SecretKeyFactory.” + PKCSObjectIdentifiers.id_PBKDF2, “PBKDF2”);
导致无法通过OID识别。

解决

1.修改系统源码,去掉注释
2.改变证书使用的算法,如果不是自己签发,可以使用三方工具。

参考信息

OID 查询:
https://oid-rep.orange-labs.fr/cgi-bin/
证书转换工具:portecle-1.11

小小bug creator
关注
android安装证书代码,在Android上列出所有已安装证书
weixin_29798865的博客
05-26 322
我使用下面的代码片段列出public void PrintInstalledCertificates( ){try{KeyStore ks = KeyStore.getInstance("AndroidCAStore");if (ks != null){ks.load(null, null);Enumeration aliases = ks.aliases();while (aliases.has...
安卓手机安装CA证书并抓包获取手机数据和xshell远程连接服务器并查看日志
a172016692的博客
01-10 9984
一、android手机安装证书并抓包获取手机数据 前提:打开可抓取HTTPS的fiddler 1、连接可使用的WiFi,修改网络 2、手动代理,填写电脑Ip地址 3、手机设置好代理后,打开手机浏览器,在地址栏输入ip:端口号,即步骤2中所设置的ip和端口号,如192.168.1.1:888,前往搜索 4、点击搜索页面中的“FiddlerRoot certificate”,即可下载该证书 5、安装证书,以荣耀magic3为例 6、证书安装成功后,...
Android 14 抓包、安装系统证书
qq_35041117的博客
03-13 5417
注意这个 269953fb 名字会用在下面命令的 -out 后面,然后加上【.0】后缀。如果发现连接代理后,没有网络,WIFI显示网络受限,多半还是证书原因。⚠️ 注意:如果手机已经安装了模块,后续追加的证书可以直接放入。如果已经导出 .PEM 文件则跳过。通过上面的命令会拿到一个ID。目录下,再重启手机即可。
一加9pro(安卓14)将证书安装到手机根目录试错
最新发布
m0_60112633的博客
05-16 737
一加9pro(安卓14)导入第三方证书
小米 11|MIUI12.5|Android11 解决 HttpCanary 证书无法安装的问题
u014421313的博客
09-07 1万+
root
fiddler实现手机抓包及手机安装证书报错“无法安装证书 因为无法读取该证书文件”解决方法
sunruirui1028的博客
09-28 1万+
电脑最好是笔记本,这样能和手机保持统一局域网内;其他不多说,直接说步骤了。 一.对PC(笔记本)参数进行配置 1. 配置fiddler允许监听到https(fiddler默认只抓取http格式的) 打开Fiddler菜单项Tools->TelerikFiddler Options->HTTPS, 勾选CaptureHTTPS CONNECTs,点击Actions, 勾选Decrypt HTTPStraffic和Ignore ...
Android APP之WebView校验SSL证书的方法
08-29
Android APP之WebView校验SSL证书的方法是Android应用程序中一个非常重要的安全机制。SSL证书校验是指Android APP中的WebView组件在访问HTTPS站点时,如何验证服务器提供的SSL证书,以确保数据的安全性和机密性。 ...
Android 7.0系统webview 显示https页面空白处理方法
08-27
Android 7.0系统中,webview组件在加载https页面时可能会出现空白处理问题,这是因为webview在加载https页面时需要进行SSL证书验证,如果证书验证失败,webview将不会加载页面内容。解决这个问题的方法是通过覆盖...
【手机无法安装证书】fiddler安装https证书报错“无法安装证书,因为无法读取证书文件。”
Baiyuan1128的博客
05-23 1094
发现,下载下来的证书后缀名跟模拟器的不一样。手机端下载的后缀为.cer,模拟器下载的证书后缀名为.crt。问题:fiddler安装https证书报错“无法安装证书,因为无法读取证书文件”4.尝试手动修手机里头的证书后缀名,修改与模拟器的一致(即后缀修改为.crt)。2.根据百度操作结果,同样报错 无法安装证书,因为无法读取证书文件。Setp2:安装证书。报错:无法安装证书,因为无法读取证书文件。3.使用模拟器安装证书。同样的步骤发现,安装成功。1.疯狂百度,搜到的都是以下这种答案。
Android 开发中的SSL pinning
xiangzhihong8的专栏
12-17 919
在日常的安全渗透过程中,我们经常会遇到瓶颈无处下手,这时候如果攻击者从APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,比如模拟器检测、root检测、APK加固、代码混淆、代码反调试、反脱壳、签名校验等等对抗机制。而测试人员对APP进行渗透的首步操作通常就是上burp或者Charles这类抓包工具进行抓包,查看请求记录里的域名及链接地址是否可以进一步利用。我们都知道http协议传输的是明文信息,是可以直接捕获的,从而造成了数据泄露。
制作安卓签名证书工具.rar
06-19
制作安卓软件的签名证书,安卓软件写出来了没有证书怎么办?现在有了,,打开就可以自己设置证书了,,很好用的签名证书生成器
查看android系统日志,INSTALL_FAILED_INVALID_APK 解决,安装apk,NO_CERTIFICATES
ZJQ的博客
07-12 2933
对程序做了进一步开发之后,发现无法安装到手机上,错误代码:installation failed with message failed to finalize session:INSTALL_FAILED_INVALID_APK,具体如下图所示: 在Android Studio上,点击File\Settings\Build,Execution,Deployment\Debugger\Insta...
安卓12(高版本9+以上)安装Charles证书系统证书安装目录
云霄IT的博客
06-19 8270
(3) 下载并安装magisk的adguardcert模块。(1) 安卓手机开启root并安装Magisk。(2) 先安装Chalers证书到用户目录。(5) 重启手机,即可在系统证书目录搜索到。(4) 把刚刚安装到用户目录的证书
android抓包-Charles证书安装+burp
mashiro_hibiki的博客
03-23 2328
但在复制之前需要调整模拟器将其设置为可写入模式,对于Android Emulator,需要进入到Content包中修改,添加 -writable-system 参数。由于系统层的证书命名规则,需要计算证书的hash值,修改证书名称,并将证书名修改为hash值。#如果安装证书重启后证书安装上,记得先断网再重复步骤安装一次!因为高版本Android的安全限制,需要证书导入为系统证书。把导出的证书导入到burp中,输入的密码和导出的密码一致。,再用adb把证书移到系统文件夹中,再做权限修改。
Android 证书安装流程分析
z9722的博客
12-06 7149
一.证书在源码中的路径 5.1系统证书(命名是 openssl x509 -subject_hash_old -in filename) libcore/luni/src/main/files/cacerts 7.1及以后系统证书 /system/ca-certificates/files 二.证书在固件中的路径 /system/etc/security/cacerts 三.手动安装流程 设置-->安全-->从SD卡安装证书: 在AndroidManif.xml里 <Prefe
如何安装安卓(Android 7.0+)CA根证书
热门推荐
tom的博客
03-14 1万+
写这个教程时,已经是2023年,现在最新的安卓系已经是Android 13。从Android7.0以后系统不再信任用户的证书,导致我们在使用一些网络调试工具时非常不便,为了解决这个问题,本教程将教你如何一步步操作,将用户级别的CA证书安装系统级的CA证书
android怎么安装CA证书及代理抓包
m0_58724783的博客
05-07 9636
android怎么安装CA证书及代理抓包
Android上实现SSL握手,实现服务器和客户端之间Socket交互
专注Android开发
06-06 2469
<!-- .pcb {margin-right:0} -->   服务端: Java代码 Java代码 public class SSLServer {          private static final int SERVER_PORT = 50030;       private static final S
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值