it-swarm.com.ru

Привязка доверия не найдена для Android SSL-соединения

Я пытаюсь подключиться к блоку IIS6, работающему с сертификатом godaddy 256bit SSL, и получаю сообщение об ошибке:

Java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.

Я пытался определить, что может быть причиной этого, но сейчас рисую пробелы.

Вот как я подключаюсь:

HttpsURLConnection conn;              
conn = (HttpsURLConnection) (new URL(mURL)).openConnection();
conn.setConnectTimeout(20000);
conn.setDoInput(true);
conn.setDoOutput(true);
conn.connect();
String tempString = toString(conn.getInputStream()); 
132
Chrispix

Решение @Chrispix опасно! Доверие всем сертификатам позволяет любому сделать человека в середине атаки! Просто отправьте ЛЮБОЙ сертификат клиенту, и он примет его!

Добавьте свой сертификат (сертификаты) в пользовательский менеджер доверия, как описано в этом сообщении: Доверие всем сертификатам с использованием HttpClient через HTTPS

Хотя установить безопасное соединение с настраиваемым сертификатом немного сложнее, оно обеспечит вам требуемую безопасность шифрования ssl без опасности попадания человека в центр атаки!

62
Matthias B

Вопреки принятому ответу вам не нужен специальный диспетчер доверия, вам нужно исправить конфигурацию сервера!

Я столкнулся с той же проблемой при подключении к серверу Apache с неправильно установленным сертификатом dynadot/alphassl. Я подключаюсь с помощью HttpsUrlConnection (Java/Android), который бросал -

javax.net.ssl.SSLHandshakeException: 
  Java.security.cert.CertPathValidatorException: 
    Trust anchor for certification path not found.

Фактическая проблема - неверная конфигурация сервера - протестируйте ее с помощью http://www.digicert.com/help/ или подобного, и он даже скажет вам решение:

«Сертификат не подписан доверенным органом (проверка по отношению к корневому хранилищу Mozilla). Если вы купили сертификат в доверенном органе, вам, вероятно, просто нужно установить один или несколько промежуточных сертификатов. провайдер сертификатов для помощи, выполняющей это для вашей серверной платформы

Вы также можете проверить сертификат с помощью openssl:

openssl s_client -debug -connect www.thedomaintocheck.com:443

Вы, вероятно, увидите:

Verify return code: 21 (unable to verify the first certificate)

и ранее в выводе:

depth=0 OU = Domain Control Validated, CN = www.thedomaintocheck.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 OU = Domain Control Validated, CN = www.thedomaintocheck.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 OU = Domain Control Validated, CN = www.thedomaintocheck.com
verify error:num=21:unable to verify the first certificate`

Цепочка сертификатов будет содержать только 1 элемент (ваш сертификат):

Certificate chain
 0 s:/OU=Domain Control Validated/CN=www.thedomaintocheck.com
  i:/O=AlphaSSL/CN=AlphaSSL CA - G2

... но следует ссылаться на право подписи в цепочке на доверенное Android (Verisign, GlobalSign и т. д.):

Certificate chain
 0 s:/OU=Domain Control Validated/CN=www.thedomaintocheck.com
   i:/O=AlphaSSL/CN=AlphaSSL CA - G2
 1 s:/O=AlphaSSL/CN=AlphaSSL CA - G2
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
 2 s:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA

Инструкции (и промежуточные сертификаты) для настройки вашего сервера обычно предоставляются органом, выдавшим ваш сертификат, например: http://www.alphassl.com/support/install-root-certificate.html

После установки промежуточных сертификатов, предоставленных моим издателем сертификатов, у меня теперь нет ошибок при подключении с использованием HttpsUrlConnection.

175
Stevie

Вы можете доверять конкретному сертификату во время выполнения.
Просто скачайте его с сервера, вставьте ресурсы и загрузите, как это, используя ssl-utils-Android :

OkHttpClient client = new OkHttpClient();
SSLContext sslContext = SslUtils.getSslContextForCertificateFile(context, "BPClass2RootCA-sha2.cer");
client.setSslSocketFactory(sslContext.getSocketFactory());

В приведенном выше примере я использовал OkHttpClient, но SSLContext можно использовать с любым клиентом в Java.

Если у вас есть вопросы, не стесняйтесь спросить. Я автор этой маленькой библиотеки.

15
klimat

Обновление на основе последней документации Android (март 2017 года):

Когда вы получаете этот тип ошибки:

javax.net.ssl.SSLHandshakeException: Java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
        at org.Apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.Java:374)
        at libcore.net.http.HttpConnection.setupSecureSocket(HttpConnection.Java:209)
        at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.makeSslConnection(HttpsURLConnectionImpl.Java:478)
        at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.connect(HttpsURLConnectionImpl.Java:433)
        at libcore.net.http.HttpEngine.sendSocketRequest(HttpEngine.Java:290)
        at libcore.net.http.HttpEngine.sendRequest(HttpEngine.Java:240)
        at libcore.net.http.HttpURLConnectionImpl.getResponse(HttpURLConnectionImpl.Java:282)
        at libcore.net.http.HttpURLConnectionImpl.getInputStream(HttpURLConnectionImpl.Java:177)
        at libcore.net.http.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.Java:271)

проблема может быть одной из следующих:

  1. CA, выдавший сертификат сервера, был неизвестен 
  2. Сертификат сервера не был подписан ЦС, но был самоподписан 
  3. В конфигурации сервера отсутствует промежуточный ЦС

Решение состоит в том, чтобы научить HttpsURLConnection доверять определенному набору CA. Как? Пожалуйста, проверьте https://developer.Android.com/training/articles/security-ssl.html#CommonProblems

Другие, которые используют AsyncHTTPClient из библиотеки com.loopj.Android:android-async-http, проверьте Настройте AsyncHttpClient для использования HTTPS

11
user1506104

Отвечаю на очень старый пост. Но, может быть, это поможет новичку, и если ничего из вышеперечисленного не сработает.

Объяснение: Я знаю, что никто не хочет дерьма объяснения; скорее решение. Но в одном случае вы пытаетесь получить доступ к услуге с локального компьютера на удаленный компьютер, который не доверяет вашему компьютеру. Вы запрашиваете необходимость получить доверие от удаленного сервера. 

Solution: Следующее решение предполагает, что выполнены следующие условия

  1. Попытка получить доступ к удаленному API с вашего локального компьютера.
  2. Вы создаете приложение для Android
  3. Ваш удаленный сервер находится под прокси-фильтрацией (вы используете прокси-сервер в настройках браузера для доступа к удаленной службе API, обычно к промежуточному серверу или серверу разработки)
  4. Вы тестируете на реальном устройстве

Шаги:

Вам нужен файл расширения .keystore для регистрации вашего приложения. Если вы не знаете, как создать файл .keystore; затем следуйте вместе со следующим разделом Создание файла .keystore или перейдите к следующему разделу Sign Apk File

Создать файл .keystore

Откройте Android Studio. Нажмите верхнее меню Build> Generate Signed APK. В следующем окне нажмите кнопку Create new .... В новом окне, пожалуйста, введите данные во все поля. Помните, что поле «Пароль», которое я рекомендую, должно иметь одинаковый пароль не используйте другой пароль; а также запомните путь сохранения в самом верхнем поле Путь к хранилищу ключей:. После ввода всех полей нажмите кнопку ОК.

Подпишите файл Apk

Теперь вам нужно создать подписанное приложение с файлом .keystore, который вы только что создали. Следуй этим шагам

  1. Построить> Очистить проект, дождаться окончания очистки
  2. Построить> Создать подписанный APK
  3. Нажмите кнопку Choose existing...
  4. Выберите файл .keystore, который мы только что создали, в разделе Create .keystore file
  5. Введите тот же пароль, который вы создали при создании в разделе Create .keystore file. Используйте один и тот же пароль для полей Key store password и Key password. Также введите псевдоним
  6. Нажмите кнопку Далее
  7. На следующем экране; которые могут отличаться в зависимости от ваших настроек в файлах build.gradle, вам нужно выбрать Build Types и Flavors.
  8. Для Build Types выберите release из выпадающего
  9. Однако для Flavors это зависит от ваших настроек в файле build.gradle. Выберите staging из этого поля. Я использовал следующие параметры в build.gradle, вы можете использовать то же, что и у меня, но убедитесь, что вы изменили applicationId на имя вашего пакета

    productFlavors {
        staging {
            applicationId "com.yourapplication.package"
            manifestPlaceholders = [icon: "@drawable/ic_launcher"]
            buildConfigField "boolean", "CATALYST_DEBUG", "true"
            buildConfigField "boolean", "ALLOW_INVALID_CERTIFICATE", "true"
        }
        production {
            buildConfigField "boolean", "CATALYST_DEBUG", "false"
            buildConfigField "boolean", "ALLOW_INVALID_CERTIFICATE", "false"
        }
    }
    
  10. Установите два нижних флажка Signature Versions и нажмите кнопку Finish.

Почти готово:

Вся тяжелая работа сделана, теперь движение истины. Чтобы получить доступ к промежуточному серверу, резервное копирование которого осуществляется через прокси-сервер, необходимо выполнить некоторые настройки в реальных тестовых устройствах Android. 

Настройка прокси в устройстве Android:

  1. Нажмите Настройка внутри телефона Android, а затем Wi-Fi
  2. Длительно нажмите на подключенный Wi-Fi и выберите Modify network
  3. Нажмите Advanced options, если вы не видите поле Proxy Hostname
  4. В Proxy Hostname введите IP-адрес хоста или имя, которое вы хотите подключить. Типичный промежуточный сервер будет называться stg.api.mygoodcompany.com
  5. Для порта введите четырехзначный номер порта, например 9502
  6. Нажмите кнопку Save

Одна последняя остановка:

Помните, что мы сгенерировали подписанный файл apk в разделе Sign APK File. Сейчас самое время установить этот APK-файл.

  1. Откройте терминал и перейдите в папку с подписанным файлом apk.
  2. Подключите устройство Android к вашей машине
  3. Удалите все предыдущие установленные apk-файлы с устройства Android
  4. Запустите adb installname of the apk file
  5. Если по какой-либо причине указанная выше команда возвращается с adb command not found. Введите полный путь как C:\Users\shah\AppData\Local\Android\sdk\platform-tools\adb.exeinstallname of the apk file

Я надеюсь, что проблема может быть решена. Если нет, пожалуйста, оставьте мне комментарий.

Салам!

6
HA S

Сообщение об ошибке, которое я получал, было похоже, но причина в том, что срок действия самозаверяющего сертификата истек . Когда была предпринята попытка клиента openssl, он дал мне причину, которая была пропущена, когда я проверял диалог сертификата из firefox.

Таким образом, в общем случае, если сертификат находится в хранилище ключей и имеет значение «VALID», эта ошибка исчезнет.

4
MPN

У меня была такая же проблема при подключении от клиента Android к серверу Kurento . Сервер Kurento использует jks-сертификаты, поэтому мне пришлось преобразовать pem в него . В качестве входных данных для преобразования я использовал файл cert.pem, и это привело к такому ошибки . Но если использовать fullchain.pem вместо cert.pem - все в порядке.

2
V.Poddubchak

У меня была та же проблема, что я обнаружил, что файл сертификата .crt, который я предоставил, пропустил промежуточный сертификат. Поэтому я спросил все файлы .crt у администратора сервера, а затем объединил их в обратном порядке.

Ex . 1. Root.crt 2. Inter.crt 3. myCrt.crt

в окнах я выполнил скопировать Inter.crt + Root.crt newCertificate.crt

(Здесь я проигнорировал myCrt.crt)

Затем я предоставил файл newCertificate.crt в код с помощью inputtream . Работа сделана.

2
sahan maldeniya

Я знаю, что вам не нужно доверять всем сертификатам, но в моем случае у меня были проблемы с некоторыми средами отладки, где у нас были самозаверяющие сертификаты, и мне требовалось грязное решение. 

Все, что мне нужно было сделать, это изменить инициализацию sslContext

mySSLContext.init(null, trustAllCerts, null); 

где trustAllCerts был создан так:

private final TrustManager[] trustAllCerts= new TrustManager[] { new X509TrustManager() {
    public Java.security.cert.X509Certificate[] getAcceptedIssuers() {
        return new Java.security.cert.X509Certificate[]{};
    }

    public void checkClientTrusted(X509Certificate[] chain,
                                   String authType) throws CertificateException {
    }

    public void checkServerTrusted(X509Certificate[] chain,
                                   String authType) throws CertificateException {
    }
} };

Надеюсь, что это пригодится.

1
Adrian C.

Ошибка привязки доверия может произойти по многим причинам. Для меня это было просто, что я пытался получить доступ к https://example.com/ вместо https://www.example.com/.

Поэтому вы можете дважды проверить свои URL-адреса, прежде чем начинать создавать свой собственный диспетчер доверия (как я).

1
Unkulunkulu

Если вы используете модернизацию, вам нужно настроить ваш OkHttpClient. 

retrofit = new Retrofit.Builder()
                        .baseUrl(ApplicationData.FINAL_URL)
                        .client(getUnsafeOkHttpClient().build())
                        .addConverterFactory(GsonConverterFactory.create())
                        .build();

Полный код приведен ниже.

    public class RestAdapter {

    private static Retrofit retrofit = null;
    private static ApiInterface apiInterface;

    public static OkHttpClient.Builder getUnsafeOkHttpClient() {
        try {
            // Create a trust manager that does not validate certificate chains
            final TrustManager[] trustAllCerts = new TrustManager[]{
                    new X509TrustManager() {
                        @Override
                        public void checkClientTrusted(Java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
                        }

                        @Override
                        public void checkServerTrusted(Java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
                        }

                        @Override
                        public Java.security.cert.X509Certificate[] getAcceptedIssuers() {
                            return new Java.security.cert.X509Certificate[]{};
                        }
                    }
            };

            // Install the all-trusting trust manager
            final SSLContext sslContext = SSLContext.getInstance("SSL");
            sslContext.init(null, trustAllCerts, new Java.security.SecureRandom());

            // Create an ssl socket factory with our all-trusting manager
            final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();

            OkHttpClient.Builder builder = new OkHttpClient.Builder();
            builder.sslSocketFactory(sslSocketFactory, (X509TrustManager) trustAllCerts[0]);
            builder.hostnameVerifier(new HostnameVerifier() {
                @Override
                public boolean verify(String hostname, SSLSession session) {
                    return true;
                }
            });
            return builder;
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }

    public static ApiInterface getApiClient() {
        if (apiInterface == null) {

            try {
                retrofit = new Retrofit.Builder()
                        .baseUrl(ApplicationData.FINAL_URL)
                        .client(getUnsafeOkHttpClient().build())
                        .addConverterFactory(GsonConverterFactory.create())
                        .build();

            } catch (Exception e) {

                e.printStackTrace();
            }


            apiInterface = retrofit.create(ApiInterface.class);
        }
        return apiInterface;
    }

}
1
Shihab Uddin

В телефонах Gingerbread я всегда получаю эту ошибку: Trust Anchor not found for Android SSL Connection, даже если я настроен на использование своего сертификата.

Вот код, который я использую (на языке Scala):

object Security {
    private def createCtxSsl(ctx: Context) = {
        val cer = {
            val is = ctx.getAssets.open("mycertificate.crt")
            try
                CertificateFactory.getInstance("X.509").generateCertificate(is)
            finally
                is.close()
        }
        val key = KeyStore.getInstance(KeyStore.getDefaultType)
        key.load(null, null)
        key.setCertificateEntry("ca", cer)

        val tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm)
    tmf.init(key)

        val c = SSLContext.getInstance("TLS")
        c.init(null, tmf.getTrustManagers, null)
        c
    }

    def prepare(url: HttpURLConnection)(implicit ctx: Context) {
        url match {
            case https: HttpsURLConnection ⇒
                val cSsl = ctxSsl match {
                    case None ⇒
                        val res = createCtxSsl(ctx)
                        ctxSsl = Some(res)
                        res
                    case Some(c) ⇒ c
                }
                https.setSSLSocketFactory(cSsl.getSocketFactory)
            case _ ⇒
        }
    }

    def noSecurity(url: HttpURLConnection) {
        url match {
            case https: HttpsURLConnection ⇒
                https.setHostnameVerifier(new HostnameVerifier {
                    override def verify(hostname: String, session: SSLSession) = true
                })
            case _ ⇒
        }
    }
}

и вот код подключения:

def connect(securize: HttpURLConnection ⇒ Unit) {
    val conn = url.openConnection().asInstanceOf[HttpURLConnection]
    securize(conn)
    conn.connect();
    ....
}

try {
    connect(Security.prepare)
} catch {
    case ex: SSLHandshakeException /*if ex.getMessage != null && ex.getMessage.contains("Trust anchor for certification path not found")*/ ⇒
        connect(Security.noSecurity)
}

По сути, я настроен на доверие к своему пользовательскому сертификату. Если это не удается, я отключаю безопасность. Это не лучший вариант, но единственный выбор, который я знаю со старыми и глючными телефонами.

Этот пример кода может быть легко переведен на Java.

0
david.perez

В моем случае это происходило после обновления до Android 8.0. Самоподписанный сертификат Android, которому доверяли, использовал алгоритм подписи SHA1withRSA. Переход на новый сертификат с помощью алгоритма подписи SHA256 с RSA устранил проблему.

0
Zds