Https在Android中的使用添加可信证书认证

最新推荐文章于 2023-02-14 18:47:06 发布
最新推荐文章于 2023-02-14 18:47:06 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: 安全加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouxinxin250/article/details/81164921
版权

android系统已经预置了150多个证书,服务端用的证书是从android认可的证书颁发机构购买的证书,默认情况下,是信任它们的,因此可以直接访问而无需在客户端设置什么。

购买证书毕竟是花钱的,使用自签名证书就是另外一种常见的方式了。所谓的自签名证书就是没有通过受信任的证书颁发机构,自己给自己颁发的证书。最典型的就是12306火车购票,使用的证书就不是受信任的证书颁发机构颁发的,而是旗下SRCA颁发的证书。

使用自签名证书,因此客户端不信任服务器,会抛出异常:javax.net.ssl.SSLHandshakeException:。为此,我们需要自定义信任处理器(TrustManager)来替代系统默认的信任处理器,这样我们才能正常的使用自定义的证书或者非android认可的证书颁发机构颁发的证书。

分为以下两种情况:一种是安全性要求不高的情况下,客户端无需内置证书;另外一种则是客户端内置证书。 

 

客户端不内置证书

需要在自定义TrustManager时重写checkServerTrusted()方法,并在该方法中校验证书。如不对服务器证书做任何验证,存在严重安全漏洞,会被拦截请求,伪造任意证书,做中间人攻击。

public static SSLSocketFactory getSSLSocketFactory() throws Exception {
        // Create a trust manager that does not validate certificate chains
        final TrustManager[] trustAllCerts = new TrustManager[]{new X509TrustManager() {
            //证书中的公钥
            public static final String PUB_KEY = "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";

            @Override
            public void checkClientTrusted(
                    java.security.cert.X509Certificate[] chain,
                    String authType) throws CertificateException {
            }

            //客户端并为对ssl证书的有效性进行校验
            @Override
            public void checkServerTrusted(
                    java.security.cert.X509Certificate[] chain,
                    String authType) throws CertificateException {
                if (chain == null) {
                    throw new IllegalArgumentException("checkServerTrusted:x509Certificate array isnull");
                }

                if (!(chain.length > 0)) {
                    throw new IllegalArgumentException("checkServerTrusted: X509Certificate is empty");
                }

                if (!(null != authType && authType.equalsIgnoreCase("RSA"))) {
                    throw new CertificateException("checkServerTrusted: AuthType is not RSA");
                }

                // Perform customary SSL/TLS checks
                try {
                    TrustManagerFactory tmf = TrustManagerFactory.getInstance("X509");
                    tmf.init((KeyStore) null);
                    for (TrustManager trustManager : tmf.getTrustManagers()) {
                        ((X509TrustManager) trustManager).checkServerTrusted(chain, authType);
                    }
                } catch (Exception e) {
                    throw new CertificateException(e);
                }
                // Hack ahead: BigInteger and toString(). We know a DER encoded Public Key begins
                // with 0×30 (ASN.1 SEQUENCE and CONSTRUCTED), so there is no leading 0×00 to drop.
                RSAPublicKey pubkey = (RSAPublicKey) chain[0].getPublicKey();

                String encoded = new BigInteger(1 /* positive */, pubkey.getEncoded()).toString(16);
                // Pin it!
                final boolean expected = PUB_KEY.equalsIgnoreCase(encoded);

                if (!expected) {
                    throw new CertificateException("checkServerTrusted: Expected public key: "
                            + PUB_KEY + ", got public key:" + encoded);
                }
            }

            @Override
            public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                return new java.security.cert.X509Certificate[0];
            }
        }};

        // Install the all-trusting trust manager
        final SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
        // Create an ssl socket factory with our all-trusting manager
        return sslContext.getSocketFactory();
    }

其中PUB_KEY是我们证书中的公钥,你可以自行从自己的证书中提取。在checkServerTrusted()方法中,我们通过证书的公钥信息来确认证书的真伪,如果验证失败,则中断请求。

除了上面那种在checkServerTrusted()实现证书验证的方式之外,我们也可以利用retrofit中CertificatePinner来实现证书锁定,同样也能达到我们的目的。

 

客户端内置证书

使用自签名证书大致要经过以下几步:

  1. 将证书添加到工程中
  2. 自定义信任管理器TrustManager
  3. 用自定义TrustManager代替系统默认的信任管理器

添加证书到工程

比如现在我们有个证书media.bks,首先将其放在res/raw目录下,当然你可以放在assets目录下。

自定义TrustManager

这里需要实现本地证书的加载

protected static SSLSocketFactory getSSLSocketFactory(Context context, int[] certificates) {
        if (context == null) {
            throw new NullPointerException("context == null");
        }
        //CertificateFactory用来证书生成
        CertificateFactory certificateFactory;
        try {
            certificateFactory = CertificateFactory.getInstance("X.509");
            //Create a KeyStore containing our trusted CAs
            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
            keyStore.load(null, null);
            for (int i = 0; i < certificates.length; i++) {
                //读取本地证书
                InputStream is = context.getResources().openRawResource(certificates[i]);
                keyStore.setCertificateEntry(String.valueOf(i), certificateFactory.generateCertificate(is));
                if (is != null) {
                    is.close();
                }
            }
            //Create a TrustManager that trusts the CAs in our keyStore
            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            trustManagerFactory.init(keyStore);

            //Create an SSLContext that uses our TrustManager
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, trustManagerFactory.getTrustManagers(), new SecureRandom());
            return sslContext.getSocketFactory();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

用自定义TrustManager代替系统默认的信任管理器

private void onHttpCertficates(Context context, OkHttpClient.Builder builder) {
        int[] certficates = new int[]{R.raw.media};
        builder.socketFactory(getSSLSocketFactory(context, certficates));
}

其实不难发现,使用非android认证证书颁发机构颁发的证书的关键在于:修改android中SSLContext自带的TrustManager以便能让我们的签名通过验证。

JoeLittleStar
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Android开发Https安全规范
caizehui的博客
01-11 1160
前言: 越来越多的Android应用为了android通信安全,将http通信改为Https通信连接,或单向验证或双向验证。 但是如果不按规范将TLS连接证书等进行安全校验,实际上和http通信没有任何差别,还是有很多的安全风险,如间人攻击等。 一方面TLS版本要高,如TLS1.2、TLS1.3,因为旧版本的都已发现安全漏洞。另外,就是一些通用部分,如下为阿里Android开发手册部分提到的规范,可以进行参考。 从 2017 年 3 月 1 日起,只要新应用或应用更新采用的 HostnameVerif
Android进行https请求信任证书问题(效率解决,小白适用)
我鱼的博客
01-19 1万+
前言 Volley 框架信任所有https证书 基于Okhttpclient信任https所有证书 前言 在Android开发项目难免要进行https请求,如果你也遇到这样的问题,那么我想这片博客能对你有些帮助。 java.security.cert.CertPathValidatorException: Trust anchor for certification path not fou
android 应用安全
carson2440的专栏
12-28 704
Android端应用安全开发指南 一 数据存储 概述 移动应用经常需要在某些场景下(比如用户登录)处理和用户或业务相关的敏感数据,有时候为满足某些业务需求,需要把这些敏感数据存储在本地,如果不对这些数据进行适当处理,就有可能存在敏感信息泄漏的风险。 安全准则 A.敏感数据总是优先考虑存储在内部空间。 B.敏感数据无论是存储在内部还是外部空间均应经过加密后再存储,应避免直接明文存储。 C....
HTTPS理论基础及其在Android的最佳实践
热门推荐
孙群
06-09 3万+
我们知道,HTTP请求都是明文传输的,所谓的明文指的是没有经过加密的信息,如果HTTP请求被黑客拦截,并且里面含有银行卡密码等敏感数据的话,会非常危险。为了解决这个问题,Netscape 公司制定了HTTPS协议,HTTPS可以将数据加密传输,也就是传输的是密文,即便黑客在传输过程拦截到数据也无法破译,这就保证了网络通信的安全。密码学基础在正式讲解HTTPS协议之前,我们首先要知道一些密码学的知识
Android静态安全检测 -> 证书弱校验
4lwin博客
07-29 1万+
证书弱校验 - X509TrustManager.checkServerTrusted方法 1. API 继承关系 javax.net.ssl.X509TrustManager public interface X509TrustManager implements TrustManager 主要方法
IOS,Android SSL双向认证HTTPS方式请求及配置证书
12-19
要进行`SSL`双向认证,需要在客户端证书添加服务器的公钥证书,并在服务器上配置客户端的公钥证书。具体步骤包括: 1. 获取并安装服务器的根证书。 2. 创建客户端证书请求,由CA签署后生成客户端证书。 3. 在`...
Android代码-腾讯开源, 在Android设备上实现可信的指纹认证
08-06
接入TENCENT SOTER,你可以在不获取用户指纹图案的前提下,在Android设备上实现可信的指纹认证,获得与微信指纹支付一致的安全快捷认证体验。 快速接入 可以在几行代码之内快速体验TENCENT SOTER完成指纹授权接口。...
android 程序动态添加删除控件或布局
11-23
Android应用程序开发,动态添加和删除控件或布局是一项常用且重要的技能。这使得我们的应用能够根据用户交互或者特定条件灵活地改变界面。本文将深入探讨如何在Android程序实现这一功能,以及如何设置控件的...
Androidstudio证书文件.zip
04-07
Android开发过程,为了发布应用到Google Play Store或者在本地进行签名测试,我们需要使用证书文件。Android Studio作为官方推荐的Android应用程序开发集成开发环境(IDE),提供了方便的方式来管理这些证书。...
AndroidPreference的使用以及监听事件分析
11-17
Android开发,Preference是构建用户界面的一种重要方式,它主要用于创建设置界面,提供开关、选择列表、输入框等常用控件。Preference类是Android框架的一部分,它简化了UI元素的创建和管理,使得开发者可以方便...
Android使用HttpClient和HttpsUrlConnection两种方式访问https网站
01-09
Android,我们可以使用`AndroidHttpClient`,它是`HttpClient`的一个优化版本,更适合Android平台。 #### 1.1 配置HttpClient访问HTTPS(不验证证书) ```java // 创建HttpClient实例 HttpClient httpClient =...
Android SDK 文帮助文档
11-07
这些工具的使用方法和功能会在文档详细阐述。 5. **示例代码**:为了帮助开发者更好地理解API的使用,文档通常会提供一些示例代码。通过实际的代码示例,开发者能直观地看到如何在项目应用各种API。 6. **性能...
AndroidListView动态添加删除项
04-13
本教程将详细讲解如何在Android实现ListView的动态添加和删除项功能。 一、ListView的基本使用 1. 布局文件:在XML布局文件,我们需要定义一个ListView,通常会有一个对应的适配器(Adapter)来填充数据。例如...
Android Studio使用说明
01-14
要安装 SVN 插件,需要在 Android Studio 打开设置,选择“插件”,然后搜索“Subversion”,选择合适的版本,点击“安装”即可。 ② Postfix Completion 插件 Postfix Completion 是一个代码补全插件,能够提供...
Android获取应用程序(包)的信息 PackageManager的使用
11-09
Android开发,`PackageManager`是一个至关重要的组件,它提供了获取和管理安装在设备上的所有应用包信息的能力。本文将详细讲解如何利用`PackageManager`来获取Android应用程序(包)的相关信息。 首先,让我们...
最全Android安全检测漏洞解决方案
weixin_40798907的博客
03-09 1万+
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android大量的app漏洞应如何去避免或者修改。 一、基本应用信息 通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。 二、安全漏洞检测项 加密算法和密码安全 1 、AES/DES加密算法不安全使用风险 2 、RSA加密算法不安全使用风险 安全防护能力 1、 Z
信任用户证书(CA),实现Android7及以上HTTPS抓包
一碗单炒饭的专栏
09-18 8550
信任用户CA,实现Android7及以上HTTPS抓包 Android7以后,系统不再信任用户级的证书,只信任系统级的证书,所以我们要让APP信任用户自己的证书。 注:需要源码,或者反编译 没有源码的看这里: 给Android7及以上的手机安装系统级证书,实现Fiddler或者其他程序的HTTPS的抓包 目录信任用户CA,实现Android7及以上HTTPS抓包准备用户证书授权1. 网络安全配置2. 信任用户CA3. 配置仅于调试的CA参考 准备 APP源码 手机 用户证书授权 1. 网络安全配置
AndroidHTTPS部署自签名证书
#请假条的博客
02-14 1593
Android 作为客户端https 通信,通常需要一个SSLContext, SSLContext 需要配置一个 TrustManager,如果是双向通信,还需要一个KeyManager。KeyManager 负责提供证书和私钥,证书发给服务端校验。双向认证 TrustManager + KeyManager。TrustManager 负责校验服务端发来的证书。单向认证 TrustManager。二、Android 客户端的配置。一、生成自签名私有证书
Android Studio添加libs
最新发布
02-07
Android Studio添加libs可以通过以下步骤进行: 1. 首先,将你的库文件(.jar或.aar文件)复制到项目的libs文件夹。如果没有libs文件夹,可以在项目的根目录下创建一个。 2. 在Android Studio,打开项目视图(Project View),可以在左侧的导航栏找到。 3. 在项目视图,展开“app”模块,然后右键点击“libs”文件夹,选择“New” -> “File”菜单选项。 4. 在弹出的对话框,选择你要添加的库文件,并点击“OK”按钮。 5. Android Studio会自动将库文件添加到项目,并在“libs”文件夹下显示出来。 6. 最后,在你的项目使用这个库文件,可以在build.gradle文件添加相应的依赖项。例如,如果你添加了一个名为library.jar的库文件,可以在build.gradle文件的dependencies部分添加以下代码: ``` implementation files('libs/library.jar') ``` 这样就完成了在Android Studio添加libs的过程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值