Chứng chỉ ghim không hoạt động với OkHttp trên Android

Question

Sử dụng com.squareup.okhttp:okhttp:2.4.0 với com.squareup.retrofit:retrofit:1.9.0 trên ứng dụng Android, cố gắng liên lạc với máy chủ REST API qua HTTPS, sử dụng chứng chỉ tự ký.

Kho lưu trữ máy chủ có khóa cá nhân và 2 chứng chỉ, chứng chỉ của máy chủ và chứng chỉ gốc. openssl s_client đầu ra -

Certificate chain 
0 s:/C=...OU=Dev/CN=example.com 
    i:/C=... My CA/emailAddress=info@example.com 
1 s:/C=... My CA/emailAddress=info@example.com 
    i:/C=... My CA/emailAddress=info@example.com 

Tại ứng dụng Android, OkHttp được khởi tạo với chữ ký SHA1 chứng chỉ gốc của -

CertificatePinner certificatePinner = new CertificatePinner.Builder() 
     .add("example.com", "sha1/5d...3b=") 
     .build(); 

OkHttpClient client = new OkHttpClient(); 
client.setCertificatePinner(certificatePinner); 

RestAdapter restAdapter = new RestAdapter.Builder() 
     .setEndpoint("https://example.com") 
     .setClient(new OkClient(client)) 
     .build(); 

Nhưng khi cố gắng gửi một yêu cầu không thành công với ngoại lệ -

retrofit.RetrofitError: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. 
     at retrofit.RestAdapter$RestHandler.invokeRequest(RestAdapter.java:395) 
     at retrofit.RestAdapter$RestHandler.invoke(RestAdapter.java:240) 
     at java.lang.reflect.Proxy.invoke(Proxy.java:397) 
     at $Proxy1.report(Unknown Source) 
     ... 
     at android.os.AsyncTask$2.call(AsyncTask.java:288) 
     at java.util.concurrent.FutureTask.run(FutureTask.java:237) 
     at android.os.AsyncTask$SerialExecutor$1.run(AsyncTask.java:231) 
     at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1112) 
     at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:587) 
     at java.lang.Thread.run(Thread.java:818) 
Caused by: javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. 
     at com.android.org.conscrypt.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:306) 
     at com.squareup.okhttp.internal.http.SocketConnector.connectTls(SocketConnector.java:103) 
     at com.squareup.okhttp.Connection.connect(Connection.java:143) 
     at com.squareup.okhttp.Connection.connectAndSetOwner(Connection.java:185) 
     at com.squareup.okhttp.OkHttpClient$1.connectAndSetOwner(OkHttpClient.java:128) 
     at com.squareup.okhttp.internal.http.HttpEngine.nextConnection(HttpEngine.java:341) 

Nó được ném tại com.squareup.okhttp.internal.http.SocketConnector khi thử sslSocket.startHandshake(), thậm chí trước khi CertificatePinner được sử dụng để kiểm tra certi đã nhận ficates.

Tôi đã đảm bảo máy chủ có chứng chỉ được cài đặt chính xác bằng cách sử dụng openssl và với curl --cacert root.pem.

Vậy tại sao OkHttp lại ném ngoại lệ trước khi thử kiểm tra xem các chứng chỉ được cung cấp có ổn không?

Answer 1

OkHttp không hỗ trợ chứng chỉ tự ký.

Khi sử dụng chứng chỉ được ký bởi một CA đã biết, bắt tay thành công và sau đó CertificatePinner đảm bảo chuỗi chứng chỉ chứa ít nhất một trong các chữ ký được cung cấp. Nếu không xuất hiện, nó sẽ ném một ngoại lệ, dừng yêu cầu.

Vì vậy, có thể sử dụng một chứng chỉ được ký bởi một CA đã biết và ghim một trong các chứng chỉ để đảm bảo chúng tôi đang nói chuyện với đúng máy chủ.

Answer 2

OkHttp hỗ trợ chứng chỉ tự ký.

Vui lòng kiểm tra this answer để tìm hiểu cách tạo SslSocket chỉ ủy thác chứng chỉ của bạn.