1. 首頁
  2. 問答
  3. 接受自簽名的SSL證書 - >在哪裏設置默認的TrustManager

接受自簽名的SSL證書 - >在哪裏設置默認的TrustManager

2012-12-17 95 views
6

首先,我不得不承認,我知道,接受所有的證書可以被視爲無安全。我們擁有「真正的」Certs,但僅限於我們的現場系統。我們的測試系統上的證書是自簽名的。所以,只要我們正在開發,我們必須使用測試服務器,這迫使我去禁用證書。接受自簽名的SSL證書 - >在哪裏設置默認的TrustManager

我在Stackoverflow和遍佈網絡的所有人都看到了很多toppics,他們都在嘗試做同樣的事情: 接受SSL證書。然而,這些答案似乎都不適用於我的問題,因爲我不打算HTTPSUrlConnections

如果我做的請求的代碼通常看起來像這樣(註釋,以便於clearification):

//creates an HTTP-Post with an URL 
HttpPost post = createBaseHttpPost(); 
//loads the request Data inside the httpPost 
post.setEntity(getHttpPostEntity()); 
//appends some Headers like user-agend or Request UUIDs 
appendHeaders(post); 

HttpClient client = new DefaultHttpClient(); 
//mResponse is a custom Object which is returned 
//from the custom ResponseHandler(mResponseHandler) 
mResponse = client.execute(post, mResponseHandler); 
return mResponse;

我讀,我應該注入我自己TrustManagerX509HostnameVerivier。我創造了他們這樣的:

private static final TrustManager[] TRUST_ALL_CERTS = new TrustManager[]{ 
     new X509TrustManager() { 

      public X509Certificate[] getAcceptedIssuers() { 
       return new X509Certificate[]{}; 
      } 

      public void checkServerTrusted(X509Certificate[] chain, String authType) 
        throws CertificateException { 
      } 

      public void checkClientTrusted(X509Certificate[] chain, String authType) 
        throws CertificateException { 
      } 
     } 

    }; 

    private static X509HostnameVerifier ACCEPT_ALL_HOSTNAMES = 
      new X509HostnameVerifier() { 

       public void verify(String host, String[] cns, String[] subjectAlts) 
         throws SSLException { 
       } 

       public void verify(String host, X509Certificate cert) throws SSLException { 
       } 

       public void verify(String host, SSLSocket ssl) throws IOException { 
       } 

       public boolean verify(String host, SSLSession session) { 
        return true; 
       } 
      };

如果我注入HostnameVerifier我的要求內像這樣的(客戶端DefaultHttpClient從上面)

SSLSocketFactory ssl = (SSLSocketFactory)client.getConnectionManager().getSchemeRegistry().getScheme("https").getSocketFactory(); 
ssl.setHostnameVerifier(ACCEPT_ALL_HOSTNAMES);

響應從「主機名**不匹配」轉到「不良要求」。我想我必須設置TrustManager,但是我無法將其設置在我的請求中,因爲我沒有使用提到的任何地方提到的HttpsUrlConnections。

來源

2012-12-17 Rafael T

+0

而不是添加代碼,讓任何證書通過(這是代碼可能永遠不會被刪除,特別是如果你忘記它的最後期限時),你可以考慮運行自己的測試CA.您必須在信任存儲中導入該測試CA證書,但這是一個更真實的測試,包括主機名(並且不太可能在發佈的產品中留下錯誤的代碼)。有些工具可以幫助您管理小型CA。 – Bruno

回答

9

不,它不會強迫你禁用驗證,它迫使你正確實施驗證。 不要一味接受所有證書。不,你的情況沒有什麼不同,你只需要相信Android默認不信任的證書。

您使用HttpClient的,所以設置信任管理器的API是比HttpsURLConnection有所不同,但過程是相同的:受信任的證書(服務器的自簽名證書

  1. 加載密鑰存儲文件)
  2. 用它初始化一個KeyStore
  3. 使用2中的KeyStore創建SocketFactory
  4. 設置您的HTTP客戶端庫以在創建SSL套接字時使用它。

這是Android的文檔中描述:http://developer.android.com/reference/org/apache/http/conn/ssl/SSLSocketFactory.html

關於這個問題的更詳細的文章,展示瞭如何創建信任存儲文件:http://blog.crazybob.org/2010/02/android-trusting-ssl-certificates.html

一些背景信息和示例代碼:http://nelenkov.blogspot.com/2011/12/using-custom-certificate-trust-store-on.html

這是您需要初始化HttpClient的代碼:

KeyStore localTrustStore = KeyStore.getInstance("BKS"); 
InputStream in = getResources().openRawResource(R.raw.mytruststore); 
localTrustStore.load(in, TRUSTSTORE_PASSWORD.toCharArray()); 

SchemeRegistry schemeRegistry = new SchemeRegistry(); 
schemeRegistry.register(new Scheme("http", PlainSocketFactory 
       .getSocketFactory(), 80)); 
SSLSocketFactory sslSocketFactory = new SSLSocketFactory(localTrustStore); 
schemeRegistry.register(new Scheme("https", sslSocketFactory, 443)); 
HttpParams params = new BasicHttpParams(); 
ClientConnectionManager cm = 
    new ThreadSafeClientConnManager(params, schemeRegistry); 

HttpClient client = new DefaultHttpClient(cm, params);

此時,您沒有信任所有證書的藉口。如果你這樣做,這一切都在你:)

來源

2012-12-18 02:59:34

相關問題

 相關問題