我的问题:
有没有人在具有多个证书链的 Android 2.1/2.2 中成功验证了与客户端证书的 SSL 连接?
细节:
我正在尝试为 Android 平台实现客户端证书身份验证。StackOverflow 中已经有很多关于如何使用 KeyStore 的讨论,我遵循标准方法,将它们提供给 SSLContext。
context.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers() ,null);
我的客户证书附有 3 个证书,形成一个证书链。在 Android 2.3+ 中,SSL 握手已成功执行,我可以继续请求。
然而,在 Android 2.2 中,同样的方法会抛出“错误的证书错误”
错误:14094412:SSL 例程:SSL3_READ_BYTES:sslv3 警报错误证书(外部/openssl/ssl/s3_pkt.c:1139 0x26bd38:0x00000003) 在 org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.nativeconnect(本机方法) 在 org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:316) 在 org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl$SSLOutputStream.(OpenSSLSocketImpl.java:564) 在 org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.getOutputStream(OpenSSLSocketImpl.java:479)
如果我在 CAfile 参数中发出带有不完整证书链的 OpenSSL 命令,则会出现相同的错误:
openssl s_client -showcerts -cert [certificateFile] -key [keyFile] -connect [ip:port] -CAfile [cert-chain]
这让我相信 Android 2.1/2.2 不会检查整个链条。getCertificateChain()为了确保我通过使用方法检查了 KeyStore 中的链数。
我正在寻找与我的问题相关的 Android 错误,但没有找到任何错误。类似的问题已在 SO 中发布,但没有答案
- ssl-not-working-on-android-2-2-only-in-2-3
- android-2-2-ssl-library-error。Nikolay Elenkov 在唯一答案中的最后一条评论似乎表明了与我相同的结论,但我找不到任何支持它的文档