Https在Android中的使用添加可信证书认证

最新推荐文章于 2023-02-14 18:47:06 发布
最新推荐文章于 2023-02-14 18:47:06 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: 安全加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouxinxin250/article/details/81164921
版权

android系统已经预置了150多个证书,服务端用的证书是从android认可的证书颁发机构购买的证书,默认情况下,是信任它们的,因此可以直接访问而无需在客户端设置什么。

购买证书毕竟是花钱的,使用自签名证书就是另外一种常见的方式了。所谓的自签名证书就是没有通过受信任的证书颁发机构,自己给自己颁发的证书。最典型的就是12306火车购票,使用的证书就不是受信任的证书颁发机构颁发的,而是旗下SRCA颁发的证书。

使用自签名证书,因此客户端不信任服务器,会抛出异常:javax.net.ssl.SSLHandshakeException:。为此,我们需要自定义信任处理器(TrustManager)来替代系统默认的信任处理器,这样我们才能正常的使用自定义的证书或者非android认可的证书颁发机构颁发的证书。

分为以下两种情况:一种是安全性要求不高的情况下,客户端无需内置证书;另外一种则是客户端内置证书。 

 

客户端不内置证书

需要在自定义TrustManager时重写checkServerTrusted()方法,并在该方法中校验证书。如不对服务器证书做任何验证,存在严重安全漏洞,会被拦截请求,伪造任意证书,做中间人攻击。

public static SSLSocketFactory getSSLSocketFactory() throws Exception {
        // Create a trust manager that does not validate certificate chains
        final TrustManager[] trustAllCerts = new TrustManager[]{new X509TrustManager() {
            //证书中的公钥
            public static final String PUB_KEY = "3082010a0282010100d52ff5dd432b3a05113ec1a7065fa5a80308810e4e181cf14f7598c8d553cccb7d5111fdcdb55f6ee84fc92cd594adc1245a9c4cd41cbe407a919c5b4d4a37a012f8834df8cfe947c490464602fc05c18960374198336ba1c2e56d2e984bdfb8683610520e417a1a9a5053a10457355cf45878612f04bb134e3d670cf96c6e598fd0c693308fe3d084a0a91692bbd9722f05852f507d910b782db4ab13a92a7df814ee4304dccdad1b766bb671b6f8de578b7f27e76a2000d8d9e6b429d4fef8ffaa4e8037e167a2ce48752f1435f08923ed7e2dafef52ff30fef9ab66fdb556a82b257443ba30a93fda7a0af20418aa0b45403a2f829ea6e4b8ddbb9987f1bf0203010001";

            @Override
            public void checkClientTrusted(
                    java.security.cert.X509Certificate[] chain,
                    String authType) throws CertificateException {
            }

            //客户端并为对ssl证书的有效性进行校验
            @Override
            public void checkServerTrusted(
                    java.security.cert.X509Certificate[] chain,
                    String authType) throws CertificateException {
                if (chain == null) {
                    throw new IllegalArgumentException("checkServerTrusted:x509Certificate array isnull");
                }

                if (!(chain.length > 0)) {
                    throw new IllegalArgumentException("checkServerTrusted: X509Certificate is empty");
                }

                if (!(null != authType && authType.equalsIgnoreCase("RSA"))) {
                    throw new CertificateException("checkServerTrusted: AuthType is not RSA");
                }

                // Perform customary SSL/TLS checks
                try {
                    TrustManagerFactory tmf = TrustManagerFactory.getInstance("X509");
                    tmf.init((KeyStore) null);
                    for (TrustManager trustManager : tmf.getTrustManagers()) {
                        ((X509TrustManager) trustManager).checkServerTrusted(chain, authType);
                    }
                } catch (Exception e) {
                    throw new CertificateException(e);
                }
                // Hack ahead: BigInteger and toString(). We know a DER encoded Public Key begins
                // with 0×30 (ASN.1 SEQUENCE and CONSTRUCTED), so there is no leading 0×00 to drop.
                RSAPublicKey pubkey = (RSAPublicKey) chain[0].getPublicKey();

                String encoded = new BigInteger(1 /* positive */, pubkey.getEncoded()).toString(16);
                // Pin it!
                final boolean expected = PUB_KEY.equalsIgnoreCase(encoded);

                if (!expected) {
                    throw new CertificateException("checkServerTrusted: Expected public key: "
                            + PUB_KEY + ", got public key:" + encoded);
                }
            }

            @Override
            public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                return new java.security.cert.X509Certificate[0];
            }
        }};

        // Install the all-trusting trust manager
        final SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
        // Create an ssl socket factory with our all-trusting manager
        return sslContext.getSocketFactory();
    }

其中PUB_KEY是我们证书中的公钥,你可以自行从自己的证书中提取。在checkServerTrusted()方法中,我们通过证书的公钥信息来确认证书的真伪,如果验证失败,则中断请求。

除了上面那种在checkServerTrusted()实现证书验证的方式之外,我们也可以利用retrofit中CertificatePinner来实现证书锁定,同样也能达到我们的目的。

 

客户端内置证书

使用自签名证书大致要经过以下几步:

  1. 将证书添加到工程中
  2. 自定义信任管理器TrustManager
  3. 用自定义TrustManager代替系统默认的信任管理器

添加证书到工程

比如现在我们有个证书media.bks,首先将其放在res/raw目录下,当然你可以放在assets目录下。

自定义TrustManager

这里需要实现本地证书的加载

protected static SSLSocketFactory getSSLSocketFactory(Context context, int[] certificates) {
        if (context == null) {
            throw new NullPointerException("context == null");
        }
        //CertificateFactory用来证书生成
        CertificateFactory certificateFactory;
        try {
            certificateFactory = CertificateFactory.getInstance("X.509");
            //Create a KeyStore containing our trusted CAs
            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
            keyStore.load(null, null);
            for (int i = 0; i < certificates.length; i++) {
                //读取本地证书
                InputStream is = context.getResources().openRawResource(certificates[i]);
                keyStore.setCertificateEntry(String.valueOf(i), certificateFactory.generateCertificate(is));
                if (is != null) {
                    is.close();
                }
            }
            //Create a TrustManager that trusts the CAs in our keyStore
            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            trustManagerFactory.init(keyStore);

            //Create an SSLContext that uses our TrustManager
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, trustManagerFactory.getTrustManagers(), new SecureRandom());
            return sslContext.getSocketFactory();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

用自定义TrustManager代替系统默认的信任管理器

private void onHttpCertficates(Context context, OkHttpClient.Builder builder) {
        int[] certficates = new int[]{R.raw.media};
        builder.socketFactory(getSSLSocketFactory(context, certficates));
}

其实不难发现,使用非android认证证书颁发机构颁发的证书的关键在于:修改android中SSLContext自带的TrustManager以便能让我们的签名通过验证。

JoeLittleStar
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Android开发Https安全规范
caizehui的博客
01-11 1160
前言: 越来越多的Android应用为了android通信安全,将http通信改为Https通信连接,或单向验证或双向验证。 但是如果不按规范将TLS连接证书等进行安全校验,实际上和http通信没有任何差别,还是有很多的安全风险,如间人攻击等。 一方面TLS版本要高,如TLS1.2、TLS1.3,因为旧版本的都已发现安全漏洞。另外,就是一些通用部分,如下为阿里Android开发手册部分提到的规范,可以进行参考。 从 2017 年 3 月 1 日起,只要新应用或应用更新采用的 HostnameVerif
Android进行https请求信任证书问题(效率解决,小白适用)
我鱼的博客
01-19 1万+
前言 Volley 框架信任所有https证书 基于Okhttpclient信任https所有证书 前言 在Android开发项目难免要进行https请求,如果你也遇到这样的问题,那么我想这片博客能对你有些帮助。 java.security.cert.CertPathValidatorException: Trust anchor for certification path not fou
android 应用安全
carson2440的专栏
12-28 704
Android端应用安全开发指南 一 数据存储 概述 移动应用经常需要在某些场景下(比如用户登录)处理和用户或业务相关的敏感数据,有时候为满足某些业务需求,需要把这些敏感数据存储在本地,如果不对这些数据进行适当处理,就有可能存在敏感信息泄漏的风险。 安全准则 A.敏感数据总是优先考虑存储在内部空间。 B.敏感数据无论是存储在内部还是外部空间均应经过加密后再存储,应避免直接明文存储。 C....
HTTPS理论基础及其在Android的最佳实践
热门推荐
孙群
06-09 3万+
我们知道,HTTP请求都是明文传输的,所谓的明文指的是没有经过加密的信息,如果HTTP请求被黑客拦截,并且里面含有银行卡密码等敏感数据的话,会非常危险。为了解决这个问题,Netscape 公司制定了HTTPS协议,HTTPS可以将数据加密传输,也就是传输的是密文,即便黑客在传输过程拦截到数据也无法破译,这就保证了网络通信的安全。密码学基础在正式讲解HTTPS协议之前,我们首先要知道一些密码学的知识
Android静态安全检测 -> 证书弱校验
4lwin博客
07-29 1万+
证书弱校验 - X509TrustManager.checkServerTrusted方法 1. API 继承关系 javax.net.ssl.X509TrustManager public interface X509TrustManager implements TrustManager 主要方法
IOS,Android SSL双向认证HTTPS方式请求及配置证书
12-19
要进行`SSL`双向认证,需要在客户端证书添加服务器的公钥证书,并在服务器上配置客户端的公钥证书。具体步骤包括: 1. 获取并安装服务器的根证书。 2. 创建客户端证书请求,由CA签署后生成客户端证书。 3. 在`...
Android代码-腾讯开源, 在Android设备上实现可信的指纹认证
08-06
接入TENCENT SOTER,你可以在不获取用户指纹图案的前提下,在Android设备上实现可信的指纹认证,获得与微信指纹支付一致的安全快捷认证体验。 快速接入 可以在几行代码之内快速体验TENCENT SOTER完成指纹授权接口。...
android 程序动态添加删除控件或布局
11-23
Android应用程序开发,动态添加和删除控件或布局是一项常用且重要的技能。这使得我们的应用能够根据用户交互或者特定条件灵活地改变界面。本文将深入探讨如何在Android程序实现这一功能,以及如何设置控件的...
最全Android安全检测漏洞解决方案
weixin_40798907的博客
03-09 1万+
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android大量的app漏洞应如何去避免或者修改。 一、基本应用信息 通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。 二、安全漏洞检测项 加密算法和密码安全 1 、AES/DES加密算法不安全使用风险 2 、RSA加密算法不安全使用风险 安全防护能力 1、 Z
信任用户证书(CA),实现Android7及以上HTTPS抓包
一碗单炒饭的专栏
09-18 8542
信任用户CA,实现Android7及以上HTTPS抓包 Android7以后,系统不再信任用户级的证书,只信任系统级的证书,所以我们要让APP信任用户自己的证书。 注:需要源码,或者反编译 没有源码的看这里: 给Android7及以上的手机安装系统级证书,实现Fiddler或者其他程序的HTTPS的抓包 目录信任用户CA,实现Android7及以上HTTPS抓包准备用户证书授权1. 网络安全配置2. 信任用户CA3. 配置仅于调试的CA参考 准备 APP源码 手机 用户证书授权 1. 网络安全配置
AndroidHTTPS部署自签名证书
#请假条的博客
02-14 1592
Android 作为客户端https 通信,通常需要一个SSLContext, SSLContext 需要配置一个 TrustManager,如果是双向通信,还需要一个KeyManager。KeyManager 负责提供证书和私钥,证书发给服务端校验。双向认证 TrustManager + KeyManager。TrustManager 负责校验服务端发来的证书。单向认证 TrustManager。二、Android 客户端的配置。一、生成自签名私有证书
android 客户端强校验服务端证书,Android实现https网络通信之添加指定信任证书/信任所有证书...
weixin_36037280的博客
05-27 1396
Android客户端访问https网站,默认情况下,受证书信任限制,无法访问,可以有两种解决方法来实现:1、将要访问的https网站的ca证书添加到客户端信任证书列表,此种方式为谷歌推荐,安全性高。2、将客户端设置为信任所有证书,也就是说不验证服务器证书,此种方式实现简单,但是安全性低,不推荐使用。直接上代码,分别实现两种方式的访问。1、客户端添加指定信任证书assets目录放置ca.crt...
Android https ssl证书配置(使用okhttp)
天盟 - 技术博客 - Eamon
08-30 8483
本文介绍使用okhttp时配置https证书的用法,关于证书的原理和SSL协议本文不做介绍,需要的同学自行查阅。https证书常见的错误用法是信任所有证书https证书在移动应用常见的问题是证书过期但客户端无法及时更新的问题。本文列举了几种配置方法,并做简单总结: 1、验证系统信任的根证书(默认) 不适合自颁发的证书(12306.cn) 也会存在间人劫持问题,只要有从信任...
Android平台实现https信任所有证书的方法
v5browser
02-16 480
Android平台上经常有使用https的需求,对于https服务器使用的根证书是受信任的证书的话,实现https是非常简单的,直接用httpclient库就行了,与使用http几乎没有区别。但是在大多数情况下,服务器所使用的根证书是自签名的,或者签名机构不在设备的信任证书列表,这样使用httpclient进行https连接就会失败。解决这个问题的办法有两种,一是在发起https连接之前将服务器...
Android】OkHttp3网络请求SSL证书验证问题绕过解决方案(包括Android 10及以上适配)
BigUncle
11-19 8378
随着SSL越来越普及,目前很多项目后台接口逐渐由过去的IP+PORT转变成了域名+SSL证书,尤其项目设计微信系类、银行类等等,对于这方便都是最基础的强硬要求条件。
android证书年限,Android使用Https证书有效期与手机时间不符合时,如何验证通过...
weixin_33001177的博客
05-28 998
安卓使用https导入证书的方法请看这篇文章《 Android如何使用Https》(已不能访问),看完这篇文章的方法已经可以解决https使用过程的问题,本文只是建立在这篇文章之上的小小拓展。通过这篇文章所使用的代码,在使用https证书导入时默认配置通过了所有链接,这有点不安全,但是某些手机由于内部时间并不是正常时间,在https证书的有效时间外,创建连接时,只想避免这一点时可以捕获时间验证的...
android 证书管理,[转]Android证书管理与证书验证(2)
weixin_28862113的博客
05-26 686
OpenSSLSocketImpl 的 verifyCertificateChain() 从 sslParameters 获得 X509TrustManager,然后在 Platform.checkServerTrusted() (com.android.org.conscrypt.Platform,位于 external/conscrypt/src/compat/java/org/conscry...
Android 绕过https证书校验
fanshicheng_123的博客
02-03 750
SSLSocketFactory.getSocketFactory().setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER); SSLContext contextvolley = null; try { contextvolley = SSLContext.getInstance("TLS"); contextvolley.init(null,new X509TrustManager[]{new X509T.
Android Studio添加libs
最新发布
02-07
Android Studio添加libs可以通过以下步骤进行: 1. 首先,将你的库文件(.jar或.aar文件)复制到项目的libs文件夹。如果没有libs文件夹,可以在项目的根目录下创建一个。 2. 在Android Studio,打开项目视图(Project View),可以在左侧的导航栏找到。 3. 在项目视图,展开“app”模块,然后右键点击“libs”文件夹,选择“New” -> “File”菜单选项。 4. 在弹出的对话框,选择你要添加的库文件,并点击“OK”按钮。 5. Android Studio会自动将库文件添加到项目,并在“libs”文件夹下显示出来。 6. 最后,在你的项目使用这个库文件,可以在build.gradle文件添加相应的依赖项。例如,如果你添加了一个名为library.jar的库文件,可以在build.gradle文件的dependencies部分添加以下代码: ``` implementation files('libs/library.jar') ``` 这样就完成了在Android Studio添加libs的过程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值