Android java.security.cert.CertPathValidatorException: 未找到证书路径的信任锚
Android java.security.cert.CertPathValidatorException: Trust anchor for certification path not found
android 应用程序对三个主机进行身份验证和授权。最后的宿主是 REST API。第一次使用 Oauth 身份验证和授权过程,它可以正常工作。
但是如果用户在登录并访问RESTAPI提供的服务后关闭应用程序,然后再次打开应用程序,就会出现这个问题。 此时身份验证和授权过程没有发生,只有 REST API。 它导致了 java.security.cert.CertPathValidatorException 但它在第一个期间工作使用(登录然后使用该应用程序)。
谁能解释一下这个异常背后的情况以及应用程序有什么问题。如果根据 this SO answer.
如下忽略认证异常,则此方法有效
SSLSocketFactory sslSocketFactory = null;
try {
TrustManagerFactory tmf = TrustManagerFactory.getInstance(
TrustManagerFactory.getDefaultAlgorithm());
// Initialise the TMF as you normally would, for example:
try {
tmf.init((KeyStore)null);
} catch(KeyStoreException e) {
e.printStackTrace();
}
TrustManager[] trustManagers = tmf.getTrustManagers();
final X509TrustManager origTrustmanager = (X509TrustManager)trustManagers[0];
// Create a trust manager that does not validate certificate chains
TrustManager[] wrappedTrustManagers = new TrustManager[]{
new X509TrustManager() {
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return origTrustmanager.getAcceptedIssuers();
}
public void checkClientTrusted(X509Certificate[] certs, String authType) {
try {
origTrustmanager.checkClientTrusted(certs, authType);
} catch(CertificateException e) {
e.printStackTrace();
}
}
public void checkServerTrusted(X509Certificate[] certs, String authType) {
try {
origTrustmanager.checkServerTrusted(certs, authType);
} catch(CertificateException e) {
e.printStackTrace();
}
}
}
};
//TrustManager[] trustAllCerts = TrustManagerFactory.getInstance("SSL").getTrustManagers();
// Install the all-trusting trust manager
final SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, wrappedTrustManagers, new java.security.SecureRandom());
// Create an ssl socket factory with our all-trusting manager
sslSocketFactory = sslContext.getSocketFactory();
} catch (NoSuchAlgorithmException | KeyManagementException e) {
e.printStackTrace();
}
return sslSocketFactory;
我正在为 http 请求使用 Okhttp 3。任何建议都有助于解决问题。如果我使用上面的代码片段,请告诉我,这是否违反安全规定?会影响应用的安全吗?
我回答这个问题是为了根据 android 开发人员网站提供有关场景和解决方案的想法,以便其他人受益。我已经使用自定义信任管理器解决了这个问题。
问题出在服务器证书上,它缺少中间证书颁发机构。但是,第一个流程证书路径以某种方式完成,结果证书路径验证成功。
android developer site 中有一个解决方案。它建议使用信任此服务器证书的自定义信任管理器,或者它建议服务器在服务器链中包含中间 CA。
自定义信任管理器。来源:https://developer.android.com/training/articles/security-ssl.html#UnknownCa
// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
InputStream caInput = new BufferedInputStream(new FileInputStream("load-der.crt"));
Certificate ca;
try {
ca = cf.generateCertificate(caInput);
System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
} finally {
caInput.close();
}
// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
// Create an SSLContext that uses our TrustManager
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);
// Tell the okhttp to use a SocketFactory from our SSLContext
OkHttpClient okHttpClient client = new OkHttpClient.Builder().sslSocketFactory(context.getSocketFactory()).build();
更新: 在从服务器端将中间证书颁发机构添加到证书链后,我的问题得到解决。这是最好的解决方案,将证书与应用程序捆绑在一起需要在证书过期或与证书管理相关的任何其他问题上更新应用程序。
更新:03/09/2017我发现加载证书文件的最简单方法是使用原始资源。
InputStream caInput = new BufferedInputStream(context
.getResources().openRawResource(R.raw.certfilename));
其中 certfilename 是放置在 resources/raw 文件夹中的证书文件。此外,okhttp 的 sslSocketFactory(SSLSocketFactory sslSocketFactory) 已被弃用,可以使用 okhttp api 文档中建议的方法。
此外,从服务器获取证书时,最好使用 openssl。
openssl s_client -connect {server-address}:{port} -showcerts
因为我以前是从 firefox 抓取的,遇到被病毒卫士修改的情况。
将您的cert.pem粘贴到原始文件夹
创建方法
private SSLSocketFactory getSSLSocketFactory(){
try {
CertificateFactory cf;
cf = CertificateFactory.getInstance("X.509");
Certificate ca;
InputStream cert = context.getResources().openRawResource(R.raw.cert);
ca = cf.generateCertificate(cert);
cert.close();
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, tmf.getTrustManagers(), null);
return sslContext.getSocketFactory();
}
catch (Exception e){
return null;
}
}
这样调用
final OkHttpClient client = new OkHttpClient();
//pass getSSLSocketFactory() in params
client.setSslSocketFactory(getSSLSocketFactory());
String appURl = context.getString(R.string.apis_app_url);
final RestAdapter restAdapter = new RestAdapter.Builder()
.setEndpoint(appURl).setClient(new OkClient(client)).
build();
android 应用程序对三个主机进行身份验证和授权。最后的宿主是 REST API。第一次使用 Oauth 身份验证和授权过程,它可以正常工作。
但是如果用户在登录并访问RESTAPI提供的服务后关闭应用程序,然后再次打开应用程序,就会出现这个问题。 此时身份验证和授权过程没有发生,只有 REST API。 它导致了 java.security.cert.CertPathValidatorException 但它在第一个期间工作使用(登录然后使用该应用程序)。
谁能解释一下这个异常背后的情况以及应用程序有什么问题。如果根据 this SO answer.
如下忽略认证异常,则此方法有效SSLSocketFactory sslSocketFactory = null;
try {
TrustManagerFactory tmf = TrustManagerFactory.getInstance(
TrustManagerFactory.getDefaultAlgorithm());
// Initialise the TMF as you normally would, for example:
try {
tmf.init((KeyStore)null);
} catch(KeyStoreException e) {
e.printStackTrace();
}
TrustManager[] trustManagers = tmf.getTrustManagers();
final X509TrustManager origTrustmanager = (X509TrustManager)trustManagers[0];
// Create a trust manager that does not validate certificate chains
TrustManager[] wrappedTrustManagers = new TrustManager[]{
new X509TrustManager() {
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return origTrustmanager.getAcceptedIssuers();
}
public void checkClientTrusted(X509Certificate[] certs, String authType) {
try {
origTrustmanager.checkClientTrusted(certs, authType);
} catch(CertificateException e) {
e.printStackTrace();
}
}
public void checkServerTrusted(X509Certificate[] certs, String authType) {
try {
origTrustmanager.checkServerTrusted(certs, authType);
} catch(CertificateException e) {
e.printStackTrace();
}
}
}
};
//TrustManager[] trustAllCerts = TrustManagerFactory.getInstance("SSL").getTrustManagers();
// Install the all-trusting trust manager
final SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, wrappedTrustManagers, new java.security.SecureRandom());
// Create an ssl socket factory with our all-trusting manager
sslSocketFactory = sslContext.getSocketFactory();
} catch (NoSuchAlgorithmException | KeyManagementException e) {
e.printStackTrace();
}
return sslSocketFactory;
我正在为 http 请求使用 Okhttp 3。任何建议都有助于解决问题。如果我使用上面的代码片段,请告诉我,这是否违反安全规定?会影响应用的安全吗?
我回答这个问题是为了根据 android 开发人员网站提供有关场景和解决方案的想法,以便其他人受益。我已经使用自定义信任管理器解决了这个问题。
问题出在服务器证书上,它缺少中间证书颁发机构。但是,第一个流程证书路径以某种方式完成,结果证书路径验证成功。
android developer site 中有一个解决方案。它建议使用信任此服务器证书的自定义信任管理器,或者它建议服务器在服务器链中包含中间 CA。
自定义信任管理器。来源:https://developer.android.com/training/articles/security-ssl.html#UnknownCa
// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
InputStream caInput = new BufferedInputStream(new FileInputStream("load-der.crt"));
Certificate ca;
try {
ca = cf.generateCertificate(caInput);
System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
} finally {
caInput.close();
}
// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
// Create an SSLContext that uses our TrustManager
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);
// Tell the okhttp to use a SocketFactory from our SSLContext
OkHttpClient okHttpClient client = new OkHttpClient.Builder().sslSocketFactory(context.getSocketFactory()).build();
更新: 在从服务器端将中间证书颁发机构添加到证书链后,我的问题得到解决。这是最好的解决方案,将证书与应用程序捆绑在一起需要在证书过期或与证书管理相关的任何其他问题上更新应用程序。
更新:03/09/2017我发现加载证书文件的最简单方法是使用原始资源。
InputStream caInput = new BufferedInputStream(context
.getResources().openRawResource(R.raw.certfilename));
其中 certfilename 是放置在 resources/raw 文件夹中的证书文件。此外,okhttp 的 sslSocketFactory(SSLSocketFactory sslSocketFactory) 已被弃用,可以使用 okhttp api 文档中建议的方法。
此外,从服务器获取证书时,最好使用 openssl。
openssl s_client -connect {server-address}:{port} -showcerts
因为我以前是从 firefox 抓取的,遇到被病毒卫士修改的情况。
将您的
cert.pem粘贴到原始文件夹创建方法
private SSLSocketFactory getSSLSocketFactory(){ try { CertificateFactory cf; cf = CertificateFactory.getInstance("X.509"); Certificate ca; InputStream cert = context.getResources().openRawResource(R.raw.cert); ca = cf.generateCertificate(cert); cert.close(); String keyStoreType = KeyStore.getDefaultType(); KeyStore keyStore = KeyStore.getInstance(keyStoreType); keyStore.load(null, null); keyStore.setCertificateEntry("ca", ca); String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm(); TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm); tmf.init(keyStore); SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, tmf.getTrustManagers(), null); return sslContext.getSocketFactory(); } catch (Exception e){ return null; } }这样调用
final OkHttpClient client = new OkHttpClient(); //pass getSSLSocketFactory() in params client.setSslSocketFactory(getSSLSocketFactory()); String appURl = context.getString(R.string.apis_app_url); final RestAdapter restAdapter = new RestAdapter.Builder() .setEndpoint(appURl).setClient(new OkClient(client)). build();