Android 上的 OkHttp 无法使用证书固定
Certificate pinning not working with OkHttp on Android
在 Android 应用程序上使用 com.squareup.okhttp:okhttp:2.4.0 和 com.squareup.retrofit:retrofit:1.9.0,尝试通过 HTTPS 与使用自签名证书的服务器 REST API 通信。
服务器密钥库有一个私钥和 2 个证书,即服务器证书和根证书。 openssl s_client 输出 -
Certificate chain
0 s:/C=...OU=Dev/CN=example.com
i:/C=... My CA/emailAddress=info@example.com
1 s:/C=... My CA/emailAddress=info@example.com
i:/C=... My CA/emailAddress=info@example.com
在 Android 应用程序中,OkHttp 使用根证书的 SHA1 签名进行初始化 -
CertificatePinner certificatePinner = new CertificatePinner.Builder()
.add("example.com", "sha1/5d...3b=")
.build();
OkHttpClient client = new OkHttpClient();
client.setCertificatePinner(certificatePinner);
RestAdapter restAdapter = new RestAdapter.Builder()
.setEndpoint("https://example.com")
.setClient(new OkClient(client))
.build();
但是当尝试发送请求失败并出现异常时 -
retrofit.RetrofitError: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
at retrofit.RestAdapter$RestHandler.invokeRequest(RestAdapter.java:395)
at retrofit.RestAdapter$RestHandler.invoke(RestAdapter.java:240)
at java.lang.reflect.Proxy.invoke(Proxy.java:397)
at $Proxy1.report(Unknown Source)
...
at android.os.AsyncTask.call(AsyncTask.java:288)
at java.util.concurrent.FutureTask.run(FutureTask.java:237)
at android.os.AsyncTask$SerialExecutor.run(AsyncTask.java:231)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1112)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:587)
at java.lang.Thread.run(Thread.java:818)
Caused by: javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
at com.android.org.conscrypt.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:306)
at com.squareup.okhttp.internal.http.SocketConnector.connectTls(SocketConnector.java:103)
at com.squareup.okhttp.Connection.connect(Connection.java:143)
at com.squareup.okhttp.Connection.connectAndSetOwner(Connection.java:185)
at com.squareup.okhttp.OkHttpClient.connectAndSetOwner(OkHttpClient.java:128)
at com.squareup.okhttp.internal.http.HttpEngine.nextConnection(HttpEngine.java:341)
尝试 sslSocket.startHandshake() 时在 com.squareup.okhttp.internal.http.SocketConnector 抛出,甚至在 CertificatePinner 用于检查收到的证书之前。
我已使用 openssl 和 curl --cacert root.pem 确保服务器已正确安装证书。
那么为什么 OkHttp 在尝试检查提供的证书是否正确之前就抛出异常?
OkHttp 不支持自签名证书。
当使用由已知 CA 签名的证书时,握手成功,然后 CertificatePinner 确保证书链至少包含所提供的签名之一。如果出现none,则会抛出异常,停止请求。
因此可以使用由已知 CA 签名的证书并固定其中一个证书以确保我们正在与正确的服务器通信。
OkHttp 确实支持自签名证书。
请查看 以了解如何创建只信任您的证书的 SslSocket。
在 Android 应用程序上使用 com.squareup.okhttp:okhttp:2.4.0 和 com.squareup.retrofit:retrofit:1.9.0,尝试通过 HTTPS 与使用自签名证书的服务器 REST API 通信。
服务器密钥库有一个私钥和 2 个证书,即服务器证书和根证书。 openssl s_client 输出 -
Certificate chain
0 s:/C=...OU=Dev/CN=example.com
i:/C=... My CA/emailAddress=info@example.com
1 s:/C=... My CA/emailAddress=info@example.com
i:/C=... My CA/emailAddress=info@example.com
在 Android 应用程序中,OkHttp 使用根证书的 SHA1 签名进行初始化 -
CertificatePinner certificatePinner = new CertificatePinner.Builder()
.add("example.com", "sha1/5d...3b=")
.build();
OkHttpClient client = new OkHttpClient();
client.setCertificatePinner(certificatePinner);
RestAdapter restAdapter = new RestAdapter.Builder()
.setEndpoint("https://example.com")
.setClient(new OkClient(client))
.build();
但是当尝试发送请求失败并出现异常时 -
retrofit.RetrofitError: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
at retrofit.RestAdapter$RestHandler.invokeRequest(RestAdapter.java:395)
at retrofit.RestAdapter$RestHandler.invoke(RestAdapter.java:240)
at java.lang.reflect.Proxy.invoke(Proxy.java:397)
at $Proxy1.report(Unknown Source)
...
at android.os.AsyncTask.call(AsyncTask.java:288)
at java.util.concurrent.FutureTask.run(FutureTask.java:237)
at android.os.AsyncTask$SerialExecutor.run(AsyncTask.java:231)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1112)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:587)
at java.lang.Thread.run(Thread.java:818)
Caused by: javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
at com.android.org.conscrypt.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:306)
at com.squareup.okhttp.internal.http.SocketConnector.connectTls(SocketConnector.java:103)
at com.squareup.okhttp.Connection.connect(Connection.java:143)
at com.squareup.okhttp.Connection.connectAndSetOwner(Connection.java:185)
at com.squareup.okhttp.OkHttpClient.connectAndSetOwner(OkHttpClient.java:128)
at com.squareup.okhttp.internal.http.HttpEngine.nextConnection(HttpEngine.java:341)
尝试 sslSocket.startHandshake() 时在 com.squareup.okhttp.internal.http.SocketConnector 抛出,甚至在 CertificatePinner 用于检查收到的证书之前。
我已使用 openssl 和 curl --cacert root.pem 确保服务器已正确安装证书。
那么为什么 OkHttp 在尝试检查提供的证书是否正确之前就抛出异常?
OkHttp 不支持自签名证书。
当使用由已知 CA 签名的证书时,握手成功,然后 CertificatePinner 确保证书链至少包含所提供的签名之一。如果出现none,则会抛出异常,停止请求。
因此可以使用由已知 CA 签名的证书并固定其中一个证书以确保我们正在与正确的服务器通信。
OkHttp 确实支持自签名证书。
请查看 SslSocket。