-1

我正在尝试启用公钥固定,因为我不想为每次证书续订发布更新,只要我每次都使用相同的 CSR。

我用这个脚本生成了哈希。

#!/bin/bash
certs=`openssl s_client -servername $1 -host $1 -port 443 -showcerts </dev/null 2>/dev/null | sed -n '/Certificate chain/,/Server certificate/p'`
rest=$certs
while [[ "$rest" =~ '-----BEGIN CERTIFICATE-----' ]]
do
 cert="${rest%%-----END CERTIFICATE-----*}-----END CERTIFICATE-----"
 rest=${rest#*-----END CERTIFICATE-----}
 echo `echo "$cert" | grep 's:' | sed 's/.*s:\(.*\)/\1/'`
 echo "$cert" | openssl x509 -pubkey -noout | 
     openssl rsa -pubin -outform der 2>/dev/null | 
     openssl dgst -sha256 -binary | openssl enc -base64
done

希望不会变!

我正在使用 okhttp3 certificatePinner 将其嵌入到改造中。

private CertificatePinner getCertificatePinner() {
    return new CertificatePinner.Builder()
            .add("<api base URL>",
                    "sha256/<the key>")
            .build();
}

我的问题是我们是否应该使用 NDK 或其他方式将其安全地存储在应用程序中?因为每个人只要知道 API 基本 URL 就可以生成这个密钥。

不确定这是否是一个愚蠢的问题。

谢谢

4

1 回答 1

0

这不是秘密,您可以自由存储证书密码。但大多数建议是反对使用证书固定,除非您知道自己在做什么以及您的安全团队证书策略是什么。当他们轮换证书或切换到备份时,从实时服务器获取它是自找麻烦。

于 2021-03-06T13:19:33.457 回答