无法从 Android 中的链获取根 CA 证书

Question

我想做的事情很简单——我想在从 iOS 和 Android 应用程序连接到服务器时获得完整的证书链。

在 iOS 中，我使用 NSURLSession 并覆盖 URLSession:didReceiveChallenge: 方法，在该方法中我可以获得证书链，在这种情况下看起来像预期的那样：

[leaf certificate] - [intermediate certificate] - [root certificate]

可爱的。

现在我尝试在 Android 设备上使用HttpsURLConnection 做同样的事情。连接到服务器后，我使用getServerCertificates() 方法获取证书链（或者至少我希望这是它的方法）。这将返回给我 Certificate[] 对象，我在其中得到了如下所示的链：

[leaf certificate] - [intermediate certificate]

因此，Android 设备上没有根证书。

你知道如何在 Android 中从链中获取根证书吗？

提前谢谢你。

Answer 1

您的问题显然很简单。我正在查看 TLS 规范中的服务器证书部分。看到这个post

服务器必须发送一个 orderer 证书链，从服务器证书和中间体开始但 CA 根是可选的，因为标准要求根证书独立分发.服务器通常不包含 CA 根

客户端验证在信任库中寻找根 CA 的链。验证由X509TrustManager 执行

 public void checkServerTrusted(X509Certificate[] chain, String authType)

已编辑 - 如何从 HTTPS 连接获取受信任的根

您可以使用可用的受信任证书列表验证中间证书，以检查其中哪个是颁发者。 （从here和here中提取代码

TrustManagerFactory tmf = TrustManagerFactory.getInstance(
        TrustManagerFactory.getDefaultAlgorithm());
// Initialise the TMF as you normally would, for example:
tmf.init((KeyStore)null); 

//get default X509TrustManager
TrustManager[] trustManagers = tmf.getTrustManagers();
final X509TrustManager x509Tm = (X509TrustManager)trustManagers[0];

//trusted certificate issuers
X509Certificate issuers[] = x509Tm.getAcceptedIssuers();

//Perform connection...
HttpsURLConnection conn =....

//get the last intermediate certificate from server certificates. 
//Fixme: if the server returns alsothe root certificate...
Certificate cert[] = conn.getServerCertificates();
X509Certificate intermediate = (X509Certificate)cert[cert.length-1];

for (int i = 0; i < issuers.length;i++){
    try{
        intermediate.verify(issuers[i].getPublicKey());
            //Verification ok. issuers[i] is the issuer
            return issuers[i];
        } catch (Exception e){}
    }
}