Android java.security.cert.CertPathValidatorException: 未找到证书路径的信任锚点

2022-09-03 12:33:32

Android应用程序有三个主机执行身份验证和授权。最后一个主机是 REST API。这是第一次使用Oauth身份验证和授权过程,它可以毫无问题地工作。

但是,如果用户在登录并访问REST API提供的服务后终止了应用程序,然后再次打开该应用程序,则会出现此问题。在这段时间里,身份验证和授权过程没有发生,只有REST API。它导致了,但它在第一次使用(登录,然后使用应用程序)期间工作。java.security.cert.CertPathValidatorException

有人可以解释此异常背后的场景以及该应用程序的问题吗?如果根据此 SO 答案,认证异常被忽略为波纹管,则此方法有效。

SSLSocketFactory sslSocketFactory = null;

        try {
            TrustManagerFactory tmf = TrustManagerFactory.getInstance(
                    TrustManagerFactory.getDefaultAlgorithm());
            // Initialise the TMF as you normally would, for example:
            try {
                tmf.init((KeyStore)null);
            } catch(KeyStoreException e) {
                e.printStackTrace();
            }
            TrustManager[] trustManagers = tmf.getTrustManagers();

            final X509TrustManager origTrustmanager = (X509TrustManager)trustManagers[0];

            // Create a trust manager that does not validate certificate chains
            TrustManager[] wrappedTrustManagers = new TrustManager[]{
                    new X509TrustManager() {
                        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                            return origTrustmanager.getAcceptedIssuers();
                        }

                        public void checkClientTrusted(X509Certificate[] certs, String authType) {
                            try {
                                origTrustmanager.checkClientTrusted(certs, authType);
                            } catch(CertificateException e) {
                                e.printStackTrace();
                            }
                        }

                        public void checkServerTrusted(X509Certificate[] certs, String authType) {
                            try {
                                origTrustmanager.checkServerTrusted(certs, authType);
                            } catch(CertificateException e) {
                                e.printStackTrace();
                            }
                        }
                    }
            };
            //TrustManager[] trustAllCerts = TrustManagerFactory.getInstance("SSL").getTrustManagers();

            // Install the all-trusting trust manager
            final SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, wrappedTrustManagers, new java.security.SecureRandom());
            // Create an ssl socket factory with our all-trusting manager
            sslSocketFactory = sslContext.getSocketFactory();
        } catch (NoSuchAlgorithmException | KeyManagementException e) {
            e.printStackTrace();
        }
        return sslSocketFactory;

我正在使用Okhttp 3进行http请求。任何建议都将有助于解决问题。如果我使用上面的代码片段,请让我知道,这是安全违规吗?它会影响应用程序的安全性吗?


答案 1

我正在回答这个问题,以便根据Android开发人员网站提供有关场景和解决方案的想法,以便其他人受益。我已经使用自定义信任管理器解决了这个问题。

问题出在服务器证书上,它错过了中间证书颁发机构。但是,第一个流证书路径以某种方式完成,结果是证书路径验证成功。

Android开发人员网站中有一个解决方案。它建议使用信任此服务器证书的自定义信任管理器,或者建议服务器在服务器链中包含中间 CA。

自定义信任管理器。来源:https://developer.android.com/training/articles/security-ssl.html#UnknownCa

// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
InputStream caInput = new BufferedInputStream(new FileInputStream("load-der.crt"));
Certificate ca;
try {
    ca = cf.generateCertificate(caInput);
    System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
} finally {
    caInput.close();
}

// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);

// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);

// Create an SSLContext that uses our TrustManager
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);
// Tell the okhttp to use a SocketFactory from our SSLContext
OkHttpClient okHttpClient client = new OkHttpClient.Builder().sslSocketFactory(context.getSocketFactory()).build();

更新:在从服务器端将中间证书颁发机构添加到证书链后,我的问题得到了解决。这是最佳解决方案,将证书与应用捆绑在一起需要更新证书到期或与证书管理相关的任何其他问题时更新应用。

更新日期:03/09/2017我发现加载证书文件的最简单方法是使用原始资源。

InputStream caInput = new BufferedInputStream(context
                .getResources().openRawResource(R.raw.certfilename));

其中,证书文件名是放置在资源/原始文件夹中的证书文件。此外,okhttp的sslSocketFactory(SSLSocketFactory sslSocketFactory)已被弃用,可以使用okhttp api文档中的建议方法。

此外,当从服务器获取证书时,最好使用openssl。

openssl s_client -connect {server-address}:{port} -showcerts

因为我曾经从火狐那里抓住它,并面临着它被病毒防护改变的情况。


答案 2
  1. 粘贴您的原始文件夹cert.pem

  2. 创建方法

    private SSLSocketFactory getSSLSocketFactory(){
        try {
            CertificateFactory cf;
            cf = CertificateFactory.getInstance("X.509");
    
            Certificate ca;
            InputStream cert = context.getResources().openRawResource(R.raw.cert);
            ca = cf.generateCertificate(cert);
            cert.close();
    
            String keyStoreType = KeyStore.getDefaultType();
            KeyStore keyStore   = KeyStore.getInstance(keyStoreType);
            keyStore.load(null, null);
            keyStore.setCertificateEntry("ca", ca);
    
            String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
            TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
            tmf.init(keyStore);
    
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, tmf.getTrustManagers(), null);
    
            return sslContext.getSocketFactory();
    
        }
        catch (Exception e){
            return null;
        }
    }
    
  3. 像这样打电话

    final OkHttpClient client = new OkHttpClient();
     //pass getSSLSocketFactory() in params
     client.setSslSocketFactory(getSSLSocketFactory());
    
     String appURl = context.getString(R.string.apis_app_url);
    
     final RestAdapter restAdapter = new RestAdapter.Builder()
             .setEndpoint(appURl).setClient(new OkClient(client)).
                     build();