Xamarin Android : Native TLS, ClientWebSocket，自定义证书颁发机构证书验证失败

Question

客户端环境是 Xamarin Android Native TLS 1.2 SSL/TLS 实现(boringssl aka btls)，使用 System.Net.WebSockets.ClientWebSocket。这是在 Android 7.0 设备上运行的。 Visual Studio 2017 15.8.1，Xamarin.Android 9.0.0.18。

服务器环境是运行 Fleck(WebSocket 服务器)的 Windows .NET 4.7，使用由自制(全局任何地方不受信任)证书颁发机构 (CA) 颁发的证书配置了 TLS 1.2。

假设已通过设置->安全->从 SD 卡安装在 android 设备上安装了自制 CA 证书(.pem 或 .cer 格式)，则 ClientWebSocket 使用 TLS 1.2 连接没有问题，正如预期的那样。由于这是针对本地(我的应用程序的一部分)问题的全局解决方案，更不用说为更大的设备生态系统打开安全漏洞，我不希望需要此设置。

然后，我尝试了几种方法将 CA 的信任本地化到仅我的应用程序，但没有成功。无论采用何种方法，ClientWebSocket.ConnectAsync() 总会抛出相同的异常:A call to SSPI failed和 Ssl error:1000007d:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED at /Users/builder/jenkins/workspace/xamarin-android-d15-8/xamarin-android/external/mono/external/boringssl/ssl/handshake_client.c:1132
我创建了一个 sample windows server and console app and Xamarin.Forms Android app这说明了该问题以及下文所述的解决方法。包括一个自定义 CA 证书。服务器代码动态发布客户端证书，其中 SAN 绑定(bind)到您的 IP/主机名，以便于重现。

尝试1:

Apply the android:networkSecurityConfig="@xml/network_security_config" attribute to the application element in the AndroidManifest.xml file ，包括资源 Resources\raw\sample_ca.pem Resources\xml\network_security_config.xml

<?xml version="1.0" encoding="utf-8" ?>
<network-security-config>
  <base-config>
    <trust-anchors>
      <certificates src="@raw/sample_ca"/>
      <certificates src="system"/>
      <certificates src="user"/>
    </trust-anchors>
  </base-config>
</network-security-config>

这没有明显的效果，我在调试输出中看不到任何表明运行时甚至正在加载它的东西。我看过 references至 messages像这样:

D/NetworkSecurityConfig: No Network Security Config specified, using platform default

然而，不管有没有这个，我从来没有见过这样或类似的消息。我真的不知道它是否被应用，或者 btls 实现是否甚至使用/尊重它。

有趣的是，由于 Android minSdk 设置为 24，目标 sdk 设置为 27，如果我只是将 CA 添加到 android 设备用户证书存储区，我预计缺少此声明会导致 TLS 1.2 无法工作。我怀疑周围有一些 Xamarin 错误。

尝试2:

将 CA 添加到 X509 存储，希望 btls 将其用作证书来源。这种方法适用于 Windows/.NET 4(它会弹出一个对话框来接受证书的添加)。

        X509Store store = new X509Store(StoreName.Root, StoreLocation.CurrentUser);
        store.Open(OpenFlags.ReadWrite);
        var certs = store.Certificates.Find(X509FindType.FindByThumbprint, cert.Thumbprint, false);
        if (certs.Count == 0)
            store.Add(cert);
        store.Close();

尝试 3:

拉手 ServerCertificateValidationCallback .这在 Xamarin Android 中永远不会被调用，但这种方法适用于 Windows/.NET 4。

ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, errors) =>
{
    if (errors == SslPolicyErrors.None)
        return true;    
    //BUGBUG: Obviously there should be a much more extensive check here.
    if (certificate.Issuer == caCert.Issuer)
        return true;    
    return false;
};

有 some Mono围绕 btls 和 pull request 的问题这使得这种方法在不久的将来成为可能。

尝试4:

将 CA 证书(和/或 CA 颁发的证书)添加到 ClientWebSocket.Options ClientCertificates 集合。从技术上讲，这不应该与 CA 证书一起使用，但应该是与自签名证书一起使用的方法。我在这里提供它只是为了完整性。正如预期的那样，它也不起作用。

完整的复制代码

available on GitHub 易于使用的代码通过上述所有尝试的变通方法演示了此问题.

Answer 1

我不知道问题是什么，但我也遇到了一些问题，因为我从我的第一个 https 网络服务开始。
原因是，我从一个自签名证书开始，如果没有丑陋的解决方法，什么是行不通的......
所以..只使用来自公共(public)供应商的签名(可信)证书，你应该没有任何问题......
要在 http 和 https 之间切换，您只需更改 url(从 http 到 https) - 无需在应用程序 ae 中进行进一步更改。
我通常首先使用 http (从 .ini 文件加载的 url )对 Web 服务进行(本地)测试，然后将 Web 服务复制到“真实”网络服务器(使用证书和 https url)。
我从来没有遇到过任何问题(当使用受信任的证书时)......