Android java.security.cert.CertPathValidatorException:找不到证书路径的信任锚

【问题标题】:Android java.security.cert.CertPathValidatorException: Trust anchor for certification path not foundAndroid java.security.cert.CertPathValidatorException:找不到证书路径的信任锚
【发布时间】:2017-01-08 21:31:33
【问题描述】:

Android 应用程序由三个主机进行身份验证和授权。最终主机是 REST API。第一次使用 Oauth 身份验证和授权过程,它可以正常工作。

但如果用户在登录并访问 REST API 提供的服务后杀死应用程序,然后再次打开应用程序,就会出现此问题。 此时没有发生身份验证和授权过程,只有 REST API。 它导致java.security.cert.CertPathValidatorException 但它在第一次使用期间工作(登录然后使用应用程序)。

谁能解释这个异常背后的场景以及应用程序出了什么问题。如果根据this SO answer 忽略认证异常,则此方法有效。

SSLSocketFactory sslSocketFactory = null;

        try {
            TrustManagerFactory tmf = TrustManagerFactory.getInstance(
                    TrustManagerFactory.getDefaultAlgorithm());
            // Initialise the TMF as you normally would, for example:
            try {
                tmf.init((KeyStore)null);
            } catch(KeyStoreException e) {
                e.printStackTrace();
            }
            TrustManager[] trustManagers = tmf.getTrustManagers();

            final X509TrustManager origTrustmanager = (X509TrustManager)trustManagers[0];

            // Create a trust manager that does not validate certificate chains
            TrustManager[] wrappedTrustManagers = new TrustManager[]{
                    new X509TrustManager() {
                        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                            return origTrustmanager.getAcceptedIssuers();
                        }

                        public void checkClientTrusted(X509Certificate[] certs, String authType) {
                            try {
                                origTrustmanager.checkClientTrusted(certs, authType);
                            } catch(CertificateException e) {
                                e.printStackTrace();
                            }
                        }

                        public void checkServerTrusted(X509Certificate[] certs, String authType) {
                            try {
                                origTrustmanager.checkServerTrusted(certs, authType);
                            } catch(CertificateException e) {
                                e.printStackTrace();
                            }
                        }
                    }
            };
            //TrustManager[] trustAllCerts = TrustManagerFactory.getInstance("SSL").getTrustManagers();

            // Install the all-trusting trust manager
            final SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, wrappedTrustManagers, new java.security.SecureRandom());
            // Create an ssl socket factory with our all-trusting manager
            sslSocketFactory = sslContext.getSocketFactory();
        } catch (NoSuchAlgorithmException | KeyManagementException e) {
            e.printStackTrace();
        }
        return sslSocketFactory;

我使用 Okhttp 3 处理 http 请求。任何建议都将有助于解决问题。如果我使用上面的代码 sn-p,请告诉我,这是否违反安全规定?会影响应用的安全吗?

【问题讨论】:

  • 注意:当您捕获并忽略 CertificateException 时,您的 checkServerTrusted 实现毫无用处。因此,所有服务器证书(受信任和不受信任)都被接受!
  • @Robert 感谢您的澄清。是的从安全角度来看这是不安全且无用的,我已经找到了答案中描述的正确解决方案。

标签: java android security ssl okhttp3


【解决方案1】:

我正在回答这个问题,以便根据 android 开发者网站提供有关场景和解决方案的想法,以使其他人受益。我已经使用自定义信任管理器解决了这个问题。

问题出在服务器证书上,它缺少中间证书颁发机构。但是,第一个流证书路径以某种方式完成,结果是成功的证书路径验证。

android developer site 中有一个解决方案。它建议使用信任此服务器证书的自定义信任管理器,或者建议服务器在服务器链中包含中间 CA。

自定义信任管理器。来源:https://developer.android.com/training/articles/security-ssl.html#UnknownCa

// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
InputStream caInput = new BufferedInputStream(new FileInputStream("load-der.crt"));
Certificate ca;
try {
    ca = cf.generateCertificate(caInput);
    System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
} finally {
    caInput.close();
}

// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);

// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);

// Create an SSLContext that uses our TrustManager
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);
// Tell the okhttp to use a SocketFactory from our SSLContext
OkHttpClient okHttpClient client = new OkHttpClient.Builder().sslSocketFactory(context.getSocketFactory()).build();

更新:在将中间证书颁发机构从服务器端添加到证书链后,我的问题得到了解决。这是最好的解决方案,将证书与应用程序捆绑需要在证书过期或与证书管理相关的任何其他问题上更新应用程序。

UPDATE:03/09/2017 我发现加载证书文件的最简单方法是使用原始资源。

InputStream caInput = new BufferedInputStream(context
                .getResources().openRawResource(R.raw.certfilename));

其中 certfilename 是放置在 resources/raw 文件夹中的证书文件。此外,okhttp 的 sslSocketFactory(SSLSocketFactory sslSocketFactory) 已被弃用,可以使用 okhttp api 文档中的建议方法。

此外,从服务器获取证书时最好使用 openssl。

openssl s_client -connect {server-address}:{port} -showcerts

因为我曾经从 firefox 中获取它并面临被病毒防护更改的情况。

【讨论】:

    【解决方案2】:

    1. 将您的cert.pem 粘贴到原始文件夹中

    2. 创建一个方法

      private SSLSocketFactory getSSLSocketFactory(){
    try {
        CertificateFactory cf;
        cf = CertificateFactory.getInstance("X.509");

        Certificate ca;
        InputStream cert = context.getResources().openRawResource(R.raw.cert);
        ca = cf.generateCertificate(cert);
        cert.close();

        String keyStoreType = KeyStore.getDefaultType();
        KeyStore keyStore   = KeyStore.getInstance(keyStoreType);
        keyStore.load(null, null);
        keyStore.setCertificateEntry("ca", ca);

        String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
        tmf.init(keyStore);

        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, tmf.getTrustManagers(), null);

        return sslContext.getSocketFactory();

    }
    catch (Exception e){
        return null;
    }
}

    3. 这样打电话

      final OkHttpClient client = new OkHttpClient();
 //pass getSSLSocketFactory() in params
 client.setSslSocketFactory(getSSLSocketFactory());

 String appURl = context.getString(R.string.apis_app_url);

 final RestAdapter restAdapter = new RestAdapter.Builder()
         .setEndpoint(appURl).setClient(new OkClient(client)).
                 build();

    【讨论】:

    • setSslSocketFactory 已弃用。
    猜你喜欢
    • 1970-01-01
    • 2018-01-06
    • 2016-03-31
    • 2019-08-02
    • 1970-01-01
    • 2016-12-26
    • 2023-02-15
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode