Я пытаюсь сделать HTTPS-соединение с сервером
После экспорта сертификата из Firefox я создаю хранилище ключей, используя:
keytool.exe -import -alias onlinescoutmanager -file www.onlinescoutmanager.co.uk.crt -storetype BKS -keystore res\raw\keystore
Затем он загружается и используется в приложении, используя:
InputStream stream = context.getResources().openRawResource(R.raw.keystore);
// BKS seems to be the default but we want to be explicit
KeyStore ks = KeyStore.getInstance("BKS");
ks.load(stream, "www.onlinescoutmanager.co.uk".toCharArray());
stream.close();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(ks);
X509TrustManager defaultTrustManager = (X509TrustManager) tmf.getTrustManagers()[0];
SSLContext context2 = SSLContext.getInstance("TLS");
context2.init(null, new TrustManager[] { defaultTrustManager }, null);
sslSocketFactory = context2.getSocketFactory();
Вы можете загрузить , как это было на момент написания, и , если требуется.
Bouncy Castle 1.47 использует другой заголовок версии. Можете ли вы попробовать 1.46 version, он должен работать.
keytool -import -alias onlinescoutmanager -file www.onlinescoutmanager.co.uk.crt -storetype BKS -storepass osmosm -keystore C:/keystore -provider org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath bcprov-ext-jdk15on-1.46.jar
Благодаря различным людям за их намеки на это, есть несколько вещей, которые должны были быть правильными для его работы.
Если сертификат сайта HTTPS подписывается доверенным корневым сертификатом, он будет работать без необходимости использования SSLSocketFactory.
Доверенные корневые сертификаты могут отличаться от того, что используется браузером, поэтому не предполагайте, что если он будет работать в веб-браузере Android, он будет работать в вашем приложении.
Если это не доверенный корневой сертификат, и вы получаете такие исключения, как javax.net.ssl.SSLHandshakeException: org.bouncycastle.jce.exception.ExtCertPathValidatorException: Could not validate certificate signature., вам необходимо создать и загрузить хранилище ключей, как показано ниже.
Ключевой магазин должен быть сгенерирован с использованием поставщика Bouncy Castle (1), указав -storetype bks в командной строке keytool.
Если Bouncy Castle установлен неправильно, это приведет к сбою с различными исключениями, включая java.security.KeyStoreException: BKS not found.
Если хранилище ключей не создано с помощью провайдера Bouncy Castle, вы можете получить исключение java.io.IOException: Wrong version of key store., вызывая путаницу со следующим случаем.
Вам нужно использовать соответствующую версию (1, 2, 3) поставщика Bouncy Castle. В большинстве случаев это выглядит как версия 1.46.
Это можно поместить в вашу папку JRE lib/ext/ и имя класса, добавленное в lib/security/java.security, или указав непосредственно в командной строке на keytool.
Если это несовместимая версия (или тип хранилища), вы снова получите исключения по линиям java.io.IOException: Wrong version of key store..
Вы должны включить весь посредник и корневой сертификат. Если они отсутствуют, вы получите исключение javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found..
Цепочка сертификатов ДОЛЖНА быть для правильной проверки. Если это не так, вы либо получите javax.net.ssl.SSLHandshakeException: org.bouncycastle.jce.exception.ExtCertPathValidatorException: IssuerName(CN=XYZ) does not match SubjectName(CN=ABC) of signing certificate., либо снова, общий javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
Я не нашел способ заказать их в хранилище ключей, поэтому прибегал к выполнению этого кода во время выполнения.
Некоторые люди предположили, что с использованием пароля хранилища ключей длиной более 7 символов также приведет к сбою, но это не то, что я нашел.
Я думаю, что это охватывает каждую ловушку, которую я нашел, но не стесняйтесь расширять и добавлять linsk к связанным вопросам.