gpt4 book ai didi

java - android自定义信任和 key 管理器

转载 作者:太空宇宙 更新时间:2023-11-03 15:00:50 24 4
gpt4 key购买 nike

我以前问过这个问题,但没有得到任何帮助。我取得了一些进展,但又因新错误而陷入困境。

我必须使用一个安全设备来保存 key 对和 CA 证书。当应用程序与需要相互身份验证的服务器建立 TLS 连接时,我现在必须使用此设备。我有一个能够与安全设备通信的“KeyPair”类。

我的问题是,当建立 ssl 连接时,我在客户端收到错误“tlsv1 alert unknown ca”,在服务器上收到“SSL3_GET_CLIENT_CERTIFICATE:no certificate returned”。我的调试日志显示 SSL 上下文确实以信任管理器的身份查询我的对象。首先调用我的 checkServerTrusted() 函数,它通过了。接下来调用 chooseClientAlias() 函数,然后调用带有客户端别名的 getPrivateKey() 函数。此时我从设备中提取私钥并将其返回。接下来调用函数 getCertificateChain(),我获取并返回数组中的匹配证书及其签署者 CA。我的调试输出显示返回的证书为:

Subject DN: CN=be2576a357228b303189ab62bd2497807d2276493ddfc6fd037a0c8fc6e9ac9a,C=YY,E=a@b.com
Issuer DN: O=myCompany,E=email@mydomain.net,L=myCity,ST=myState,C=XX,CN=LJB
Serial Num = 3877882041

Subject DN = O=myCompany,E=email@mydomain.net,L=myCity,ST=myState,C=XX,CN=LJB
Issuer DN = O=myCompany,E=email@mydomain.net,L=myCity,ST=myState,C=XX,CN=LJB
Serial Num = 10069430368951295741

然后 SSL 连接暂停,然后出现上述错误。

我已经扩展了“KeyPair”类来充当 key 和信任管理器,如下所示:

public class Keypair implements X509KeyManager, X509TrustManager

在这个类中,我覆盖了这些管理器的所有函数,以查看何时调用什么。我的应用程序将始终是对服务器工作的客户端。

因此,在创建此类对象期间以及在设备上对 key 对的所有测试都成功之后,我创建了一个使用特定 key 对的 SSL 上下文。目前设备上只有一对 key 。我用...

sslCtx = SSLContext.getInstance("TLS");
sslCtx.init(new KeyManager[] {this}, new TrustManager[] {this}, new SecureRandom());

稍后任务将使用此对象创建到服务器的连接

protected boolean Connect(String host, int port) {
SSLSocketFactory factory = getKeypair().getSecureSocketFactory();
socket = (SSLSocket) factory.createSocket(host, port);
:
}

其中 getSecureSocketFactory() 函数只是从 key 对类对象返回 sslCtx.getSocketFactory()。

我搜索了很多,看到了创建工厂等的代码,但没有一个能够帮助我。我不想创建任何 key 存储 - 这就是设备的用途。

那么错误指的是哪个“CA”?服务器证书也是由上述 CA 直接签名的。如果我不需要客户端进行身份验证,则连接有效。我正在使用 Android 4.1.2 的手机上进行测试。

跟进:我确信我的问题出在我的 getCertificateChain() 函数上。我只是包含了我从安全设备中检索到的公共(public)证书和 CA 证书。它不应该使用 Android 附带的任何证书。那么,有人可以就退回链条的规则给我一些建议吗?我对“链”的理解是否正确:这必须是与私钥匹配的证书以及直到主 CA(自签名)的所有证书?”

最佳答案

为了设置您的 TrustManager,我使用了在某处找到的一些实用函数:

  void trustCertificate(X509Certificate cert) {
if (cert!=null) {
try {
KeyStore.TrustedCertificateEntry x = new KeyStore.TrustedCertificateEntry(cert);
sslKeystore.setEntry(cert.getSubjectDN().getName(), x, null);
} catch (KeyStoreException e) {
e.printStackTrace();
}
saveKeystore();
}
}

private void createKeystore() {
try {
sslKeystore.load(null,null);
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init((KeyStore)null);
// Copy current certs into our keystore so we can use it...
// TODO: don't actually do this...
X509TrustManager xtm = (X509TrustManager) tmf.getTrustManagers()[0];
for (X509Certificate cert : xtm.getAcceptedIssuers()) {
sslKeystore.setCertificateEntry(cert.getSubjectDN().getName(), cert);
}
} catch (Exception e) {
e.printStackTrace();
}

saveKeystore();
}

private void saveKeystore() {
try {
sslKeystore.store(new FileOutputStream(keystoreFile), KEYSTORE_PASSWORD.toCharArray());
} catch (Exception e) {
e.printStackTrace();
}
}

来自调用类:

 CertificateFactory cf = CertificateFactory.getInstance("X.509");
InputStream caInput = new BufferedInputStream(cafile);
Certificate ca = null;
try {
ca = cf.generateCertificate(caInput);

} catch(Exception e) {

}
finally {
caInput.close();
}
certManagerCA.trustCertificate((X509Certificate) ca);
KeyStore keyStoreCA = certManagerCA.sslKeystore;
tmf = TrustManagerFactory.getInstance("X509");
tmf.init(keyStoreCA);

关于java - android自定义信任和 key 管理器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22269458/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com