我想做的事情很简单——我想在从iOS和Android应用程序连接到服务器时获得完整的证书链。
在iOS中,我使用NSURLSession并覆盖URLSession:didReceiveChallenge:方法,在该方法中我可以获得证书链,在这种情况下,它看起来像预期的:
[leaf certificate] - [intermediate certificate] - [root certificate]
太好了。
现在我正尝试在使用HttpsURLConnection的Android设备上做同样的事情。连接到服务器后,我使用getServerCertificates()方法获得证书链(或者至少我希望这是它的方法)。这将返回Certificate[]对象,在该对象中我将获得如下所示的链:
[leaf certificate] - [intermediate certificate]
因此,Android设备上没有根证书。
你知道如何在安卓系统中从链中获得根证书吗?
提前谢谢。
你的问题显然很简单。我正在复习TLS规范中的服务器证书部分。见此贴
服务器必须发送订购方证书链,从服务器证书和中间体开始但CA根是可选的因为标准要求根证书独立分发。服务器通常不包括CA根
客户端验证在信任库中查找根CA的链。验证由X509TrustManager执行。最好返回找到的根证书,但是,正如您所看到的,负责验证的方法以静默方式完成
public void checkServerTrusted(X509Certificate[] chain, String authType)
已编辑-如何从HTTPS连接获取受信任的root
您可以使用可用的受信任证书列表来验证中间证书,以检查其中哪一个是颁发者。(从这里和这里提取代码
TrustManagerFactory tmf = TrustManagerFactory.getInstance(
TrustManagerFactory.getDefaultAlgorithm());
// Initialise the TMF as you normally would, for example:
tmf.init((KeyStore)null);
//get default X509TrustManager
TrustManager[] trustManagers = tmf.getTrustManagers();
final X509TrustManager x509Tm = (X509TrustManager)trustManagers[0];
//trusted certificate issuers
X509Certificate issuers[] = x509Tm.getAcceptedIssuers();
//Perform connection...
HttpsURLConnection conn =....
//get the last intermediate certificate from server certificates.
//Fixme: if the server returns alsothe root certificate...
Certificate cert[] = conn.getServerCertificates();
X509Certificate intermediate = (X509Certificate)cert[cert.length-1];
for (int i = 0; i < issuers.length;i++){
try{
intermediate.verify(issuers[i].getPublicKey());
//Verification ok. issuers[i] is the issuer
return issuers[i];
} catch (Exception e){}
}
}