java.Sicherheit.cert.CertPathValidatorException: Vertrauen-Anker für die Zertifizierung Pfad nicht gefunden. Android 2.3

In meinem server (Produktionsserver), ich habe eine goDaddy-ssl-Zertifikat.
Ich habe beide iOS-und Android-apps die Verbindung mit dem server, iOS-Verbindung mit keine Probleme, mit android-Versionen 4.* alles ist gut, aber mit Geräten mit 2.3.* Ich bekomme immer eine SSLHandshakeException.

Habe ich genau wie bei der Android-Entwickler-Seite (https://developer.android.com/training/articles/security-ssl.html).

Sah ich schon ähnliche threads hier im stackoverflow ( hier ), aber keiner hilft.

Dann sah ich diese thread reden, Extended Key Usage, aber beim Debuggen bekomme ich folgende Informationen:

[2]: OID: 2.5.29.37, Critical: false
Extended Key Usage: [ "1.3.6.1.5.5.7.3.1", "1.3.6.1.5.5.7.3.2" ]

Also ich denke, das Zertifikat ist nicht "zwingen" Extended Key Usage.

Auch auf diese thread gibt es einige weitere mögliche Ursachen, wie Datum/Zeit völlig falsch, die sind alle nicht mehr existent.

Nehmen, die berücksichtigt, die ich jetzt nicht weiß, wo das problem sein könnte.

Irgendwelche Vorschläge?

EDIT:
StackTrace unten:

08-04 16:54:30.139: W/System.err(4832): Caused by: java.security.cert.CertificateException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
08-04 16:54:30.149: W/System.err(4832):     at org.apache.harmony.xnet.provider.jsse.TrustManagerImpl.checkServerTrusted(TrustManagerImpl.java:161)
08-04 16:54:30.149: W/System.err(4832):     at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.verifyCertificateChain(OpenSSLSocketImpl.java:664)
08-04 16:54:30.149: W/System.err(4832):     at org.apache.harmony.xnet.provider.jsse.NativeCrypto.SSL_do_handshake(Native Method)
08-04 16:54:30.159: W/System.err(4832):     at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:474)
  • Können Sie uns den stacktrace?
  • Was ist die URL zu dem server?
  • Auch, Sie können eine Kostenlose StartCom Klasse 1 server-cert, die vertrauenswürdigen von den meisten desktop-und mobile Browser. Es beinhaltet iOS 2.0 und Ansdroid 2.2. Siehe StartSSL Comparison Chart und Liste der browser-Versionen mit StartCom certs. Wenn Sie einen Platzhalter, dann werden Sie haben, um es zu kaufen obwohl.
  • sorry, ich will nicht zu identifizieren, mich und/oder mein Unternehmen, damit ich nicht das Gefühl, komfortable, es zu zeigen. Aber können Sie mir sagen, was war die Idee? Ich kaufte bereits eine goDaddy-Zertifikat, so würde es keinen Punkt in den Kauf einer anderen one.
  • Startcom und CAcert - Class-1-Zertifikate sind kostenlos. Ich möchte die Ausgabe von openssl s_client -connect <server>:<port> um sicherzustellen, dass Sie senden eine gültige Kette.
  • Welche version von TLS ist Ihr server läuft? TLS v1.0 als veraltet...

InformationsquelleAutor joseph | 2014-08-04
  1. 2

    Sieht es aus wie der Emittent des Zertifikats nicht in den trust-store des 2.3-Geräte.

    Werfen Sie einen Blick auf die root und intermediate ca ' s Ihre GoDaddy Zertifikat und überprüfen, ob die Zertifikate vorhanden sind, die auf Ihre 2.3 Gerät.

    Sehen http://www.andreabaccega.com/blog/2010/09/23/android-root-certification-authorities-list/ für den Erhalt einer Liste von 2.3 Zertifikate.

    Wenn nur die root-CA verfügbar ist, stellen Sie sicher, dass Ihr webserver dient auch die Zwischenzertifikate auf Anfrage.

    • Mein webserver dient auch das intermediate-Zertifikat, aber es ist nicht auf dieser Liste. Laut der Dokumentation durch Erstellung eines keystore mit meinem Zertifikat und das hinzufügen von ein trustManager (die ich mache) funktionieren würde, aber derzeit ist es offensichtlich nicht funktioniert. Irgendwelche Vorschläge?
    • Was ist die url Ihres Webservers? Kann ich auf Sie zugreifen? Beziehen Sie sich auf einen trustmanager auf dem server oder in Ihrem Android-App?
    • wir benötigen die URL zu dem server, und der code, baut die SSLContext. Es ist irgendwie lächerlich, dass Sie nicht alle Informationen. Wie erwarten Sie, dass die Gemeinschaft Ihnen helfen? Die Frage könnte geschlossen werden: in der Nähe Grund, wenn Sie gezielt falsche Informationen angegeben?.
    • Wie es aussieht war das problem, dass beim ausführen der code-von-Android-Entwicklung-Dokumentation (in "Unknown certificate authority") die den Fehler verursacht wurde. Ich entfernte es und es funktioniert jetzt auf allen Geräten. Ich markierte diese Antwort als die richtige, weil in der Tat der code wurde verändert mein Gerät CA. @jww wie gesagt, mein code war genau so, wie auf Android-Dokumentation, und sofern der link. Ich bin frei, nicht geben Ihnen einen link, Bereitstellung von falschen Informationen ist sehr unterschiedlich: vom nicht-information. Die comunity noch in der Lage war, mir zu helfen, als userM1433372 haben.
    InformationsquelleAutor userM1433372
  2. 5

    Ging ich durch VIELE Orte in SO und das web zu lösen, dieses Ding.
    Dies ist der code, hat bei mir (Android 21):

    ByteArrayInputStream derInputStream = new ByteArrayInputStream(app.certificateString.getBytes());
CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509","BC");
X509Certificate cert = (X509Certificate) certificateFactory.generateCertificate(derInputStream);
String alias = "alias";//cert.getSubjectX500Principal().getName();

KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
trustStore.load(null);
trustStore.setCertificateEntry(alias, cert);
KeyManagerFactory kmf = KeyManagerFactory.getInstance("X509");
kmf.init(trustStore, null);
KeyManager[] keyManagers = kmf.getKeyManagers();

TrustManagerFactory tmf = TrustManagerFactory.getInstance("X509");
tmf.init(trustStore);
TrustManager[] trustManagers = tmf.getTrustManagers();

SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(keyManagers, trustManagers, null);
URL url = new URL(someURL);
conn = (HttpsURLConnection) url.openConnection();
conn.setSSLSocketFactory(sslContext.getSocketFactory());

    app.certificateString ist ein String, der das Zertifikat enthält, zum Beispiel:

    static public String certificateString=
    "-----BEGIN CERTIFICATE-----\n" +
    "MIIGQTCCBSmgAwIBAgIHBcg1dAivUzANBgkqhkiG9w0BAQsFADCBjDELMAkGA1UE" +
    "BhMCSUwxFjAUBgNVBAoTDVN0YXJ0Q29tIEx0ZC4xKzApBgNVBAsTIlNlY3VyZSBE" +
    ... a bunch of characters...
    "5126sfeEJMRV4Fl2E5W1gDHoOd6V==\n" +
    "-----END CERTIFICATE-----";

    Habe ich getestet, Sie können beliebige Zeichen in das Zertifikat string, wenn es selbst unterzeichnet, so lange wie Sie halten die genaue Struktur vor.
    Ich erhielt das Zertifikat string mit meinem laptop das Terminal-Befehlszeile. Ich, die Sie brauchen, um mehr details wissen, lass es mich wissen.

    • Hi! Möchten Sie helfen, diese zu lösen? stackoverflow.com/questions/39553999/... sehe ich Tonnen von Fragen, um selbst-signierte SSL-Zertifikate, aber die meisten der Fragen, die veraltet sind (Bibliotheken veraltet von Android, zum Beispiel), und ich bin mit Android Volley. Ich sehe auch Tonnen von Fragen, die mit Antworten wie "nuke" alle SSL-Zertifikate", die wirklich macht mich fühlen sich gestört (mindestens). Ich möchte dieses problem zu lösen, und werfen ein Licht über ihm, das stoppen dieser "Mist" über nuking ssl-Zertifikate.
    • Super Antwort, sehr gut Gearbeitet. Danke @Josh
    InformationsquelleAutor Josh
  3. 2

    Falls jemand braucht, die Antwort, habe ich endlich die Antwort gefunden nach 2 Tagen von google. Im Grunde brauchen wir custom TrustManager zu vertraut der CAs in unseren KeyStore, ist dies, weil in Android 2.3.x, der keystore ist nicht richtig. Kredit https://github.com/delgurth für die CustomTrustManager.

    Bitte: https://github.com/ikust/hello-pinnedcerts/issues/2

    KeyPinStore.java

    import java.io.BufferedInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.cert.Certificate;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;

import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
public class KeyPinStore {
    private static final String[] certificates = {"certificate1.crt", "certificate2.crt", "certificate3.crt", "certificate4.crt"};
    private static KeyPinStore instance = null;
    private SSLContext sslContext = SSLContext.getInstance("TLS");

    public static synchronized KeyPinStore getInstance() throws CertificateException, IOException, KeyStoreException, NoSuchAlgorithmException, KeyManagementException {
        if (instance == null) {
            instance = new KeyPinStore();
        }
        return instance;
    }

    private KeyPinStore() throws CertificateException, IOException, KeyStoreException, NoSuchAlgorithmException, KeyManagementException {
        String keyStoreType = KeyStore.getDefaultType();
        KeyStore keyStore = KeyStore.getInstance(keyStoreType);
        keyStore.load(null, null);
        for (int i = 0; i < certificates.length; i++) {
            CertificateFactory cf = CertificateFactory.getInstance("X.509");
            InputStream caInput = new BufferedInputStream(Application.context.getAssets().open("certificate/" + certificates[i]));
            Certificate ca;
            try {
                ca = cf.generateCertificate(caInput);
                System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
            } finally {
                caInput.close();
            }

            //Create a KeyStore containing our trusted CAs
            keyStore.setCertificateEntry("ca" + i, ca);
        }

        //Use custom trust manager to trusts the CAs in our KeyStore
        TrustManager[] trustManagers = {new CustomTrustManager(keyStore)};

        //Create an SSLContext that uses our TrustManager
        //SSLContext context = SSLContext.getInstance("TLS");
        sslContext.init(null, trustManagers, null);
    }

    public SSLContext getContext() {
        return sslContext;
    }
}

    CustomTrustManager.java

    import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.Principal;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;
import java.util.Arrays;
import java.util.List;

import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;
import javax.net.ssl.X509TrustManager;

/**
 * A custom X509TrustManager implementation that trusts a specified server certificate in addition
 * to those that are in the system TrustStore.
 * Also handles an out-of-order certificate chain, as is often produced by Apache's mod_ssl
 */
public class CustomTrustManager implements X509TrustManager {

  private final TrustManager[] originalTrustManagers;
  private final KeyStore trustStore;

  /**
   * @param trustStore A KeyStore containing the server certificate that should be trusted
   * @throws NoSuchAlgorithmException
   * @throws KeyStoreException
   */
  public CustomTrustManager(KeyStore trustStore) throws NoSuchAlgorithmException, KeyStoreException {
    this.trustStore = trustStore;

    final TrustManagerFactory originalTrustManagerFactory = TrustManagerFactory.getInstance("X509");
    originalTrustManagerFactory.init(trustStore);

    originalTrustManagers = originalTrustManagerFactory.getTrustManagers();
  }

  /**
   * No-op. Never invoked by client, only used in server-side implementations
   * @return
   */
  public X509Certificate[] getAcceptedIssuers() {
    return new X509Certificate[0];
  }

  /**
   * No-op. Never invoked by client, only used in server-side implementations
   * @return
   */
  public void checkClientTrusted(X509Certificate[] chain, String authType) throws java.security.cert.CertificateException {
  }


  /**
   * Given the partial or complete certificate chain provided by the peer,
   * build a certificate path to a trusted root and return if it can be validated and is trusted
   * for client SSL authentication based on the authentication type. The authentication type is
   * determined by the actual certificate used. For instance, if RSAPublicKey is used, the authType should be "RSA".
   * Checking is case-sensitive.
   * Defers to the default trust manager first, checks the cert supplied in the ctor if that fails.
   * @param chain the server's certificate chain
   * @param authType the authentication type based on the client certificate
   * @throws java.security.cert.CertificateException
   */
  public void checkServerTrusted(X509Certificate[] chain, String authType) throws java.security.cert.CertificateException {
    try {
      for (TrustManager originalTrustManager : originalTrustManagers) {
        ((X509TrustManager) originalTrustManager).checkServerTrusted(chain, authType);
      }
    } catch(CertificateException originalException) {
      try {
        //Ordering issue?
        X509Certificate[] reorderedChain = reorderCertificateChain(chain);
        if (! Arrays.equals(chain, reorderedChain)) {
          checkServerTrusted(reorderedChain, authType);
          return;
        }
        for (int i = 0; i < chain.length; i++) {
          if (validateCert(reorderedChain[i])) {
            return;
          }
        }
        throw originalException;
      } catch(Exception ex) {
        ex.printStackTrace();
        throw originalException;
      }
    }

  }

  /**
   * Checks if we have added the certificate in the trustStore, if that's the case we trust the certificate
   * @param x509Certificate the certificate to check
   * @return true if we know the certificate, false otherwise
   * @throws KeyStoreException on problems accessing the key store
   */
  private boolean validateCert(final X509Certificate x509Certificate) throws KeyStoreException {
    return trustStore.getCertificateAlias(x509Certificate) != null;
  }

  /**
   * Puts the certificate chain in the proper order, to deal with out-of-order
   * certificate chains as are sometimes produced by Apache's mod_ssl
   * @param chain the certificate chain, possibly with bad ordering
   * @return the re-ordered certificate chain
   */
  private X509Certificate[] reorderCertificateChain(X509Certificate[] chain) {

    X509Certificate[] reorderedChain = new X509Certificate[chain.length];
    List<X509Certificate> certificates = Arrays.asList(chain);

    int position = chain.length - 1;
    X509Certificate rootCert = findRootCert(certificates);
    reorderedChain[position] = rootCert;

    X509Certificate cert = rootCert;
    while((cert = findSignedCert(cert, certificates)) != null && position > 0) {
      reorderedChain[--position] = cert;
    }

    return reorderedChain;
  }

  /**
   * A helper method for certificate re-ordering.
   * Finds the root certificate in a possibly out-of-order certificate chain.
   * @param certificates the certificate change, possibly out-of-order
   * @return the root certificate, if any, that was found in the list of certificates
   */
  private X509Certificate findRootCert(List<X509Certificate> certificates) {
    X509Certificate rootCert = null;

    for(X509Certificate cert : certificates) {
      X509Certificate signer = findSigner(cert, certificates);
      if(signer == null || signer.equals(cert)) { //no signer present, or self-signed
        rootCert = cert;
        break;
      }
    }

    return rootCert;
  }

  /**
   * A helper method for certificate re-ordering.
   * Finds the first certificate in the list of certificates that is signed by the sigingCert.
   */
  private X509Certificate findSignedCert(X509Certificate signingCert, List<X509Certificate> certificates) {
    X509Certificate signed = null;

    for(X509Certificate cert : certificates) {
      Principal signingCertSubjectDN = signingCert.getSubjectDN();
      Principal certIssuerDN = cert.getIssuerDN();
      if(certIssuerDN.equals(signingCertSubjectDN) && !cert.equals(signingCert)) {
        signed = cert;
        break;
      }
    }

    return signed;
  }

  /**
   * A helper method for certificate re-ordering.
   * Finds the certificate in the list of certificates that signed the signedCert.
   */
  private X509Certificate findSigner(X509Certificate signedCert, List<X509Certificate> certificates) {
    X509Certificate signer = null;

    for(X509Certificate cert : certificates) {
      Principal certSubjectDN = cert.getSubjectDN();
      Principal issuerDN = signedCert.getIssuerDN();
      if(certSubjectDN.equals(issuerDN)) {
        signer = cert;
        break;
      }
    }

    return signer;
  }
}

    Es zu benutzen, nur um die SSLSocketFactory und anwenden, zB:

    mit HttpsURLConnection

    KeyPinStore keystore = KeyPinStore.getInstance();
SSLSocketFactory sslSF = keystore.getContext().getSocketFactory();
URL url = new URL("https://certs.cac.washington.edu/CAtest/");
HttpsURLConnection urlConnection = (HttpsURLConnection)url.openConnection();
urlConnection.setSSLSocketFactory(sslSF);
InputStream in = urlConnection.getInputStream();
copyInputStreamToOutputStream(in, System.out);

    mit Volley

    KeyPinStore keystore = KeyPinStore.getInstance();
SSLSocketFactory sslSF = keystore.getContext().getSocketFactory();
RequestQueue mRequestQueue = Volley.newRequestQueue(context, new HurlStack(null, sslSF));
    InformationsquelleAutor Newbie009
Schreibe einen Kommentar