大佬教程收集整理的这篇文章主要介绍了Android 上的 SSL - 我的非公开可信 CA 的信任锚问题,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
我的服务器运行 TLS 加密软件。它使用由我自己的 CA 签名的证书,并在 SSL 握手期间显示所有中间 CA:
# openssl s_clIEnt -connect hostname:port -showcerts
...
Certificate chain
0 s:CN = serverEntity
i:CN = My CA
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
1 s:CN = My CA
i:CN = My CA
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
我遵循了这两个指南:
https://developer.android.com/Training/articles/security-ssl.html
https://developer.android.com/Training/articles/security-config
并按照此处所述配置自定义 CA(我刚刚添加了 PEM 格式的 CA 证书):https://developer.android.com/Training/articles/security-config#ConfigCustom
我还使用我的应用程序证书设置了一个 KeyStore,因此它也会向服务器验证自身。另一方面,当我尝试建立 SSL 握手时,出现以下错误:
javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValIDatorException: Trust anchor for certification path not found.
我有点困惑,因为我的情况似乎不是以下根本原因:https://developer.android.com/Training/articles/security-ssl.html#CommonProblems
这是AndroID应用程序代码的一部分。如果我理解正确,将 null 作为 TrustManager(sslContext.init 的第二个参数)传递将使用默认值(也是我在 network_security_config.xml 中指定的)
inputStream appinputStream = ctx.getresources().openRawresource(R.raw.appentity);
KeyStore keyStore;
KeymanagerFactory keymanagerFactory;
SSLContext sslContext;
keyStore = KeyStore.geTinstance("PKCS12");
keyStore.load(cainputStream,"mypassword".tochararray());
keymanagerFactory = KeymanagerFactory.geTinstance("X509");
keymanagerFactory.init(keyStore,"mypassword".tochararray());
sslContext = SSLContext.geTinstance("TLS");
sslContext.init(keymanagerFactory.getKeymanagers(),null,null);
SSLSocket sslSocket = (SSLSocket) sslContext.getSocketFactory().createSocket("IPv4-address",port);
sslSocket.startHandshake(); // <-- causes exception
network_security_config.xml:
<?xml version="1.0" enCoding="utf-8"?>
<network-security-config xmlns:androID="http://scheR_65_11845@as.androID.com/apk/res/androID">
<domain-config>
<domain includeSubdomains="true">mydomain.com</domain>
<trust-anchors>
<certificates src="@raw/my_ca"/>
</trust-anchors>
</domain-config>
</network-security-config>
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)
以上是大佬教程为你收集整理的Android 上的 SSL - 我的非公开可信 CA 的信任锚问题全部内容,希望文章能够帮你解决Android 上的 SSL - 我的非公开可信 CA 的信任锚问题所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。