2015-11-30 58 views
0

在使用證書鎖定開發中,說的是沒有任何第三方會信任https證書,而是將其存儲在設備上。如果我逆向工程Android apk,我是否無法訪問此證書?我意識到它的公開,但我可以用它來做中間攻擊的人,對嗎?我應該在哪裏放置證書,以便沒有人可以訪問它?我有位於android資源文件夾中的* .cer證書文件,但需要知道它將如何安全。證書鎖定 - 當流氓開發者獲得Android中的證書文件時會發生什麼

回答

0

該證書不是祕密的,所以不要擔心某人逆向工程證書。要鎖定證書,只需將您的服務器證書嵌入您的應用。然後在運行時,當服務器向您發送證書時,將其與您嵌入的證書進行比較以確保它們相同。在中增加以完成所有通常的SSL/TLS驗證。

+0

所以如果有人獲得我的證書不能持有他們然後與我的服務器通信?你能詳細說一下理查德? – j2emanue

+0

如果您的目標是讓您的服務器僅與經過身份驗證和授權的客戶端進行通信,那不是證書鎖定。這是客戶端身份驗證。事實上,你可以同時做這兩件事,但我的答案與你關於證書釘住的問題有關。 –

+0

請注意,即使使用客戶端身份驗證,證書也是公開的,而非祕密。這是客戶使用的必須保密的關鍵。有關更多信息,請參閱https://docs.oracle.com/cd/E19424-01/820-4811/aakhe/index.html。 –

相關問題