Https-соединение Android
Я публикую сообщение https и получаю исключение из ssl-исключения, не являющегося доверенным сертификатом сервера. Если я использую обычный http, он работает отлично. Должен ли я каким-либо образом принимать сертификат сервера?
Переведено автоматически
Ответ 1
Я скопировал следующий код, который взят из The Java Developers Almanac.
Он просто больше не проверяет сертификат.
// always verify the host - dont check for certificate final static
HostnameVerifier DO_NOT_VERIFY = new HostnameVerifier() { public
boolean verify(String hostname, SSLSession session) { return true;
} };
/** * Trust every server - dont check for any certificate */ private
static void trustAllHosts() { // Create a trust manager that does not
validate certificate chains TrustManager[] trustAllCerts = new
TrustManager[] { new X509TrustManager() { public
java.security.cert.X509Certificate[] getAcceptedIssuers() { return
new java.security.cert.X509Certificate[] {}; }
public void checkClientTrusted(X509Certificate[] chain,
String authType) throws CertificateException { }
public void checkServerTrusted(X509Certificate[] chain,
String authType) throws CertificateException { } } };
// Install the all-trusting trust manager try { SSLContext sc =
SSLContext.getInstance("TLS"); sc.init(null, trustAllCerts, new
java.security.SecureRandom()); HttpsURLConnection
.setDefaultSSLSocketFactory(sc.getSocketFactory()); } catch (Exception e) { e.printStackTrace(); } }
и
HttpURLConnection http = null;
if (url.getProtocol().toLowerCase().equals("https")) {
trustAllHosts(); HttpsURLConnection https = (HttpsURLConnection) url.openConnection(); https.setHostnameVerifier(DO_NOT_VERIFY); http
= https; } else { http = (HttpURLConnection) url.openConnection(); }
Ответ 2
Я делаю предположение, но если вы хотите, чтобы произошло реальное рукопожатие, вы должны сообщить Android о своем сертификате. Если вы хотите просто принять, несмотря ни на что, то используйте этот псевдокод, чтобы получить то, что вам нужно, с помощью HTTP-клиента Apache:
SchemeRegistry schemeRegistry = new SchemeRegistry ();
schemeRegistry.register (new Scheme ("http",
PlainSocketFactory.getSocketFactory (), 80));
schemeRegistry.register (new Scheme ("https",
new CustomSSLSocketFactory (), 443));
ThreadSafeClientConnManager cm = new ThreadSafeClientConnManager (
params, schemeRegistry);
return new DefaultHttpClient (cm, params);
CustomSSLSocketFactory:
public class CustomSSLSocketFactory extends org.apache.http.conn.ssl.SSLSocketFactory
{
private SSLSocketFactory FACTORY = HttpsURLConnection.getDefaultSSLSocketFactory ();
public CustomSSLSocketFactory ()
{
super(null);
try
{
SSLContext context = SSLContext.getInstance ("TLS");
TrustManager[] tm = new TrustManager[] { new FullX509TrustManager () };
context.init (null, tm, new SecureRandom ());
FACTORY = context.getSocketFactory ();
}
catch (Exception e)
{
e.printStackTrace();
}
}
public Socket createSocket() throws IOException
{
return FACTORY.createSocket();
}
// TODO: add other methods like createSocket() and getDefaultCipherSuites().
// Hint: they all just make a call to member FACTORY
}
FullX509TrustManager - это класс, который реализует javax.net.ssl.X509TrustManager, но ни один из методов фактически не выполняет никакой работы, получите образец здесь.
Удачи!
Ответ 3
http://madurangasblogs.blogspot.in/2013/08/avoiding-javaxnetsslsslpeerunverifiedex.html
Предоставлено Мадурангой
При разработке приложения, использующего https, на вашем тестовом сервере нет действительного SSL-сертификата. Иногда веб-сайт использует самозаверяющий сертификат или веб-сайт использует бесплатный SSL-сертификат. Итак, если вы попытаетесь подключиться к серверу с помощью Apache HttpClient, вы получите исключение, сообщающее, что "одноранговый узел не прошел проверку подлинности". Хотя не рекомендуется доверять всем сертификатам в производственном программном обеспечении, возможно, вам придется делать это в зависимости от ситуации. Это решение устраняет исключение, вызванное "одноранговый узел не прошел проверку подлинности".
But before we go to the solution, I must warn you that this is not a good idea for a production application. This will violate the purpose of using a security certificate. So unless you have a good reason or if you are sure that this will not cause any problem, don't use this solution.
Normally you create a HttpClient like this.
HttpClient httpclient = new DefaultHttpClient();
But you have to change the way you create the HttpClient.
First you have to create a class extending org.apache.http.conn.ssl.SSLSocketFactory.
import org.apache.http.conn.ssl.SSLSocketFactory;
import java.io.IOException;
import java.net.Socket;
import java.net.UnknownHostException;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;
public class MySSLSocketFactory extends SSLSocketFactory {
SSLContext sslContext = SSLContext.getInstance("TLS");
public MySSLSocketFactory(KeyStore truststore) throws NoSuchAlgorithmException, KeyManagementException, KeyStoreException, UnrecoverableKeyException {
super(truststore);
TrustManager tm = new X509TrustManager() {
public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
}
public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
}
public X509Certificate[] getAcceptedIssuers() {
return null;
}
};
sslContext.init(null, new TrustManager[] { tm }, null);
}
@Override
public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException, UnknownHostException {
return sslContext.getSocketFactory().createSocket(socket, host, port, autoClose);
}
@Override
public Socket createSocket() throws IOException {
return sslContext.getSocketFactory().createSocket();
}
}
Затем создайте метод, подобный этому.
public HttpClient getNewHttpClient() {
try {
KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
trustStore.load(null, null);
SSLSocketFactory sf = new MySSLSocketFactory(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
HttpParams params = new BasicHttpParams();
HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);
HttpProtocolParams.setContentCharset(params, HTTP.UTF_8);
SchemeRegistry registry = new SchemeRegistry();
registry.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));
registry.register(new Scheme("https", sf, 443));
ClientConnectionManager ccm = new ThreadSafeClientConnManager(params, registry);
return new DefaultHttpClient(ccm, params);
} catch (Exception e) {
return new DefaultHttpClient();
}
}
Затем вы можете создать HttpClient.
HttpClient httpclient = getNewHttpClient();
Если вы пытаетесь отправить post-запрос на страницу входа в систему, остальная часть кода будет выглядеть следующим образом.
private URI url = new URI("url of the action of the form");
HttpPost httppost = new HttpPost(url);
List<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>();
nameValuePairs.add(new BasicNameValuePair("username", "user"));
nameValuePairs.add(new BasicNameValuePair("password", "password"));
try {
httppost.setEntity(new UrlEncodedFormEntity(nameValuePairs));
HttpResponse response = httpclient.execute(httppost);
HttpEntity entity = response.getEntity();
InputStream is = entity.getContent();
} catch (UnsupportedEncodingException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (ClientProtocolException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (IOException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
Вы получаете HTML-страницу в InputStream. Затем вы можете делать все, что хотите, с возвращенной HTML-страницей.
Но здесь вы столкнетесь с проблемой. Если вы хотите управлять сеансом с помощью файлов cookie, вы не сможете сделать это этим методом. Если вы хотите получить файлы cookie, вам придется сделать это через браузер. Тогда только вы будете получать файлы cookie.
Ответ 4
Если вы используете сертификат StartSSL или Thawte, для Froyo и более старых версий произойдет сбой. Вы можете использовать репозиторий CAcert более новой версии вместо того, чтобы доверять каждому сертификату.