6

首先我不得不承认我知道接受所有证书可以被认为没有安全性。我们有“真正的”证书,但仅限于我们的实时系统。我们测试系统上的证书是自签名的。所以只要我们在开发,我们就必须使用测试服务器,这迫使我禁用证书。

我在 Stackoverflow 和整个网络上看到了很多主题,它们都在尝试做同样的事情:接受 SSL 证书。然而,这些答案似乎都不适用于我的问题,因为我没有搞乱HTTPSUrlConnections.

如果我正在发出请求,代码通常如下所示(为澄清而发表评论):

//creates an HTTP-Post with an URL
HttpPost post = createBaseHttpPost();
//loads the request Data inside the httpPost
post.setEntity(getHttpPostEntity());
//appends some Headers like user-agend or Request UUIDs
appendHeaders(post);

HttpClient client = new DefaultHttpClient();
//mResponse is a custom Object which is returned 
//from the custom ResponseHandler(mResponseHandler) 
mResponse = client.execute(post, mResponseHandler);
return mResponse;

我读到我应该注入自己的TrustManagerX509HostnameVerivier. 我这样创建它们:

private static final TrustManager[] TRUST_ALL_CERTS = new TrustManager[]{
        new X509TrustManager() {

            public X509Certificate[] getAcceptedIssuers() {
                return new X509Certificate[]{};
            }

            public void checkServerTrusted(X509Certificate[] chain, String authType)
                    throws CertificateException {
            }

            public void checkClientTrusted(X509Certificate[] chain, String authType)
                    throws CertificateException {
            }
        }

    };

    private static X509HostnameVerifier ACCEPT_ALL_HOSTNAMES = 
            new X509HostnameVerifier() {

                public void verify(String host, String[] cns, String[] subjectAlts)
                        throws SSLException {
                }

                public void verify(String host, X509Certificate cert) throws SSLException {
                }

                public void verify(String host, SSLSocket ssl) throws IOException {
                }

                public boolean verify(String host, SSLSession session) {
                    return true;
                }
            };

如果我像这样注入HostnameVerifier我的请求(客户端是上面的 DefaultHttpClient)

SSLSocketFactory ssl = (SSLSocketFactory)client.getConnectionManager().getSchemeRegistry().getScheme("https").getSocketFactory();
ssl.setHostnameVerifier(ACCEPT_ALL_HOSTNAMES);

响应从“主机名**不匹配”变为“错误请求”。我想我必须设置 TrustManager,但我不知道在我的请求中设置它的位置,因为我没有使用在我查找它的所有地方提到的 HttpsUrlConnections。

4

1 回答 1

9

不,它不会强制您禁用验证,它会强制您正确实施验证。不要盲目接受所有证书。不,您的情况没有任何不同,您只需要信任 Android 默认不信任的证书。

您使用的是 HttpClient,因此用于设置信任管理器的 API 与 有所不同HttpsURLConnection,但过程相同:

  1. 使用受信任的证书(您的服务器的自签名证书)加载密钥库文件
  2. 用它初始化 a KeyStore
  3. SocketFactory使用KeyStorefrom 2创建一个。
  4. 设置您的 HTTP 客户端库以在创建 SSL 套接字时使用它。

这在 Android 的文档中有所描述:http: //developer.android.com/reference/org/apache/http/conn/ssl/SSLSocketFactory.html

关于这个主题的更详细的文章,展示了如何创建信任存储文件: http: //blog.crazybob.org/2010/02/android-trusting-ssl-certificates.html

一些背景信息和示例代码: http: //nelenkov.blogspot.com/2011/12/using-custom-certificate-trust-store-on.html

这是初始化 HttpClient 所需的代码:

KeyStore localTrustStore = KeyStore.getInstance("BKS");
InputStream in = getResources().openRawResource(R.raw.mytruststore);
localTrustStore.load(in, TRUSTSTORE_PASSWORD.toCharArray());

SchemeRegistry schemeRegistry = new SchemeRegistry();
schemeRegistry.register(new Scheme("http", PlainSocketFactory
                .getSocketFactory(), 80));
SSLSocketFactory sslSocketFactory = new SSLSocketFactory(localTrustStore);
schemeRegistry.register(new Scheme("https", sslSocketFactory, 443));
HttpParams params = new BasicHttpParams();
ClientConnectionManager cm = 
    new ThreadSafeClientConnManager(params, schemeRegistry);

HttpClient client = new DefaultHttpClient(cm, params);

此时,您没有任何理由信任所有证书。如果你这样做了,一切都在你身上:)

于 2012-12-18T02:59:34.973 回答