javax.net.ssl.SSLHandshakeException: java.Sicherheit.cert.CertPathValidatorException: Vertrauen-Anker für die Zertifizierung Pfad nicht gefunden

Bin ich mit dem Retrofit für den Zugang zu mein-REST-API. Jedoch, wenn ich meinen API hinter ssl und darauf zugreifen, indem http://myhost/myapi dann bekomme ich diesen Fehler:

Brauche ich etwas extra zu tun jetzt, dass mein API ist hinter SSL?

Hier ist, wie ich eine Verbindung:

private final String API = "https://myhost/myapi";

private final RestAdapter REST_ADAPTER = new RestAdapter.Builder()
        .setServer(API)
        .setLogLevel(RestAdapter.LogLevel.FULL)
        .build();

01-10 09:49:55.621    2076-2100/com.myapp.mobile D/Retrofit﹕ javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
            at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:401)
            at libcore.net.http.HttpConnection.setupSecureSocket(HttpConnection.java:209)
            at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.makeSslConnection(HttpsURLConnectionImpl.java:478)
            at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.connect(HttpsURLConnectionImpl.java:433)
            at libcore.net.http.HttpEngine.sendSocketRequest(HttpEngine.java:290)
            at libcore.net.http.HttpEngine.sendRequest(HttpEngine.java:240)
            at libcore.net.http.HttpURLConnectionImpl.getResponse(HttpURLConnectionImpl.java:282)
            at libcore.net.http.HttpURLConnectionImpl.getResponseCode(HttpURLConnectionImpl.java:497)
            at libcore.net.http.HttpsURLConnectionImpl.getResponseCode(HttpsURLConnectionImpl.java:134)
            at retrofit.client.UrlConnectionClient.readResponse(UrlConnectionClient.java:90)
            at retrofit.client.UrlConnectionClient.execute(UrlConnectionClient.java:48)
            at retrofit.RestAdapter$RestHandler.invokeRequest(RestAdapter.java:287)
            at retrofit.RestAdapter$RestHandler.invoke(RestAdapter.java:222)
            at $Proxy12.signin(Native Method)
            at com.myapp.loginactivity$3.doInBackground(LoginActivity.java:143)
            at com.myapp.loginactivity$3.doInBackground(LoginActivity.java:136)
            at android.os.AsyncTask$2.call(AsyncTask.java:287)
            at java.util.concurrent.FutureTask.run(FutureTask.java:234)
            at android.os.AsyncTask$SerialExecutor$1.run(AsyncTask.java:230)
            at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1080)
            at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:573)
            at java.lang.Thread.run(Thread.java:841)
     Caused by: java.security.cert.CertificateException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
            at org.apache.harmony.xnet.provider.jsse.TrustManagerImpl.checkTrusted(TrustManagerImpl.java:282)
            at org.apache.harmony.xnet.provider.jsse.TrustManagerImpl.checkServerTrusted(TrustManagerImpl.java:202)
            at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.verifyCertificateChain(OpenSSLSocketImpl.java:595)
            at org.apache.harmony.xnet.provider.jsse.NativeCrypto.SSL_do_handshake(Native Method)
            at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:398)
            at libcore.net.http.HttpConnection.setupSecureSocket(HttpConnection.java:209)
            at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.makeSslConnection(HttpsURLConnectionImpl.java:478)
            at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.connect(HttpsURLConnectionImpl.java:433)
            at libcore.net.http.HttpEngine.sendSocketRequest(HttpEngine.java:290)
            at libcore.net.http.HttpEngine.sendRequest(HttpEngine.java:240)
            at libcore.net.http.HttpURLConnectionImpl.getResponse(HttpURLConnectionImpl.java:282)
            at libcore.net.http.HttpURLConnectionImpl.getResponseCode(HttpURLConnectionImpl.java:497)
            at libcore.net.http.HttpsURLConnectionImpl.getResponseCode(HttpsURLConnectionImpl.java:134)
            at retrofit.client.UrlConnectionClient.readResponse(UrlConnectionClient.java:90)
            at retrofit.client.UrlConnectionClient.execute(UrlConnectionClient.java:48)
            at retrofit.RestAdapter$RestHandler.invokeRequest(RestAdapter.java:287)
            at retrofit.RestAdapter$RestHandler.invoke(RestAdapter.java:222)
            at $Proxy12.signin(Native Method)
            at com.myapp.LoginActivity$3.doInBackground(LoginActivity.java:143)
            at com.myapp.LoginActivity$3.doInBackground(LoginActivity.java:136)
            at android.os.AsyncTask$2.call(AsyncTask.java:287)
            at java.util.concurrent.FutureTask.run(FutureTask.java:234)
            at android.os.AsyncTask$SerialExecutor$1.run(AsyncTask.java:230)
            at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1080)
            at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:573)
            at java.lang.Thread.run(Thread.java:841)

haben Sie dieses problem gelöst ?
Wenn Sie nicht bereits gelöst, siehe: stackoverflow.com/a/31436459/4261176

InformationsquelleAutor birdy | 2014-01-10

Der Grund, warum dies auftreten, ist die JVM/Dalvik habe nicht das Vertrauen in die CA-Zertifikate in das system oder in das Benutzer-Zertifikat speichert.

Um dies zu beheben mit der Nachrüstung, Wenn Sie verwendet werden, okhttp, mit einem anderen client ist es sehr ähnlich.

Sie haben zu tun:

A). Erstellen Sie einen Zertifikatsspeicher enthalten den öffentlichen Schlüssel der CA. Um dies zu tun, müssen Sie starten nächste Skript für *nix.
Müssen Sie openssl installieren auf Ihrem Computer und download von https://www.bouncycastle.org/ das Glas bcprov-jdk16-1.46.jar. Laden Sie diese version nicht
andere, die in der version 1.5 x ist nicht kompatibel mit android 4.0.4.

#!/bin/bash

if [ -z $1 ]; then
  echo "Usage: cert2Android<CA cert PEM file>"
  exit 1
fi

CACERT=$1
BCJAR=bcprov-jdk16-1.46.jar

TRUSTSTORE=mytruststore.bks
ALIAS=`openssl x509 -inform PEM -subject_hash -noout -in $CACERT`

if [ -f $TRUSTSTORE ]; then
    rm $TRUSTSTORE || exit 1
fi

echo "Adding certificate to $TRUSTSTORE..."
keytool -import -v -trustcacerts -alias $ALIAS \
      -file $CACERT \
      -keystore $TRUSTSTORE -storetype BKS \
      -providerclass org.bouncycastle.jce.provider.BouncyCastleProvider \
      -providerpath $BCJAR \
      -storepass secret

echo "" 
echo "Added '$CACERT' with alias '$ALIAS' to $TRUSTSTORE..."

B). Kopieren Sie die truststore-Datei mytruststore.bks im res/raw Ihres Projekts
javax.net.ssl.SSLHandshakeException: java.Sicherheit.cert.CertPathValidatorException: Vertrauen-Anker für die Zertifizierung Pfad nicht gefunden

C). Einstellung SSLContext der Verbindung:

.............
okHttpClient = new OkHttpClient();
try {
    KeyStore ksTrust = KeyStore.getInstance("BKS");
    InputStream instream = context.getResources().openRawResource(R.raw.mytruststore);
    ksTrust.load(instream, "secret".toCharArray());

    //TrustManager decides which certificate authorities to use.
    TrustManagerFactory tmf = TrustManagerFactory
        .getInstance(TrustManagerFactory.getDefaultAlgorithm());
    tmf.init(ksTrust);
    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, tmf.getTrustManagers(), null);

    okHttpClient.setSslSocketFactory(sslContext.getSocketFactory());
} catch (KeyStoreException | IOException | NoSuchAlgorithmException | CertificateException | KeyManagementException e) {
    e.printStackTrace();
}
.................

Wenn Sie mit retrofit befestigen Sie diese OkHttpClient wie hier vorgeschlagen: github.com/square/retrofit/issues/265. Auch ich habe festgestellt, dass dies funktioniert nur mit: bcprov-jdk16-1.46.jar sonst bekommen Sie die wrong version of keystore error
Cannot resolve Methode okHttpClient.setSslSocketFactory(..), jetzt sollte client = new OkHttpClient.Builder().sslSocketFactory(sslContext.getSocketFactory()).build();

InformationsquelleAutor Fernando.

2

Gibt es 4 Möglichkeiten die ich kenne:
- importieren Sie das Zertifikat in Ihre app und verwenden Sie es für die Verbindung
- disable certificate Prüfung
- fügen Sie das Zertifikat in die vertrauenswürdigen Zertifikate-system in Android
- kaufen ein geprüftes Zertifikat wird akzeptiert von Android
Ich nehme an, Sie wollen nicht bezahlen für diese, so dass ich denke, die eleganteste Lösung ist das erste, was erreicht werden kann auf diese Weise:

http://blog.crazybob.org/2010/02/android-trusting-ssl-certificates.html
- Wie konnte ich nur deaktivieren Zertifikat überprüfen? Wollen tun Sie dies nur in einer Testumgebung.
- Wie wollen Sie "fügen Sie das Zertifikat in die vertrauenswürdigen Zertifikate-system in Android"?
- Es gibt mehrere tutorials im internet darüber. Hier ist einer für dich: guyrutenberg.com/2013/03/16/...
InformationsquelleAutor kupsef
2

Dies kann aus verschiedenen Gründen passieren, einschließlich:
1. Die ZERTIFIZIERUNGSSTELLE, die das Serverzertifikat ausgestellt hat, nicht bekannt war
2. Das server-Zertifikat nicht von einer ZERTIFIZIERUNGSSTELLE signiert wurden, war aber selbst signiertes
3. Der server-Konfiguration fehlt, eine intermediate CA
bitte schauen Sie sich diesen link zur Lösung: https://developer.android.com/training/articles/security-ssl.html#CommonProblems
- Funktioniert diese Lösung funktioniert mit OkHttp?
- Ja, ich hab retrofit + okhttp dann
- Ich hatte das gleiche problem, das problem war Punkt 3: "Die server-Konfiguration fehlt, eine intermediate CA", indem man das intermediate-CA das problem gelöst
InformationsquelleAutor Defuera

Hallo, dasselbe problem habe ich gelöst Sie können versuchen, diese

java.Sicherheit.cert.CertPathValidatorException: Vertrauen-Anker für die Zertifizierung Pfad nicht gefunden.NETZWERK

 //SET SSL
public static OkClient setSSLFactoryForClient(OkHttpClient client) {
    try {
        //Create a trust manager that does not validate certificate chains
        final TrustManager[] trustAllCerts = new TrustManager[]{
                new X509TrustManager() {
                    @Override
                    public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
                    }

                    @Override
                    public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
                    }

                    @Override
                    public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                        return null;
                    }
                }
        };

        //Install the all-trusting trust manager
        final SSLContext sslContext = SSLContext.getInstance("SSL");
        sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
        //Create an ssl socket factory with our all-trusting manager
        final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();


        client.setSslSocketFactory(sslSocketFactory);
        client.setHostnameVerifier(new HostnameVerifier() {
            @Override
            public boolean verify(String hostname, SSLSession session) {
                return true;
            }
        });

    } catch (Exception e) {
        throw new RuntimeException(e);
    }
    return new OkClient(client);
}

Große Lösung gearbeitet!!! für mich nach Verschwendung von 2 Tagen 🙂
denken Sie daran, dass dies deaktivieren Sie das überprüfen von Zertifikaten. vermeiden Sie es in Produktionsumgebungen!
Dies ist nicht die Arbeit mit unter 5,0 OS , TLS nicht aktivieren bydefault unter 5.0-Geräte
Tun Sie es nicht, sonst werden Sie setzen Sie Ihre Anwendung, um MitM-Angriffe. Sie sollten nie das Vertrauen Zertifikate, die Sie nicht kennen.
ich bin immer der gleiche Fehler immer noch kann jede Stelle mir helfen
entsprechende Zertifikate von Autorität und verwenden, die Zertifikate für die Verbindung mit diesem code umgehen, die Zertifikate überprüfen, aber schlecht zu deuten für die Verwendung von Zertifikaten

InformationsquelleAutor sushant gosavi

1

SSL ist nicht ordnungsgemäß konfiguriert. Diese trustAnchor Fehler in der Regel bedeuten, dass der trust store nicht gefunden werden kann. Überprüfen Sie Ihre Konfiguration und stellen Sie sicher, dass Sie tatsächlich den Hinweis auf den trust store und, dass es im Ort.

Stellen Sie sicher, Sie haben eine -Djavax.net.ssl.trustStore system-Eigenschaft festlegen und anschließend kontrollieren, dass der Pfad führt tatsächlich in den trust store.

Können Sie auch aktivieren Sie die SSL-debugging, indem Sie die Einstellung dieser Eigenschaft system -Djavax.net.debug=all. Innerhalb der debug-Ausgabe, die Sie werden feststellen, es besagt, dass es nicht finden können, den trust store.
- Ich denke, das wäre Arbeit für Desktop-Java, aber nicht auf Android.
- Das bedeutet, dass die peer-Zertifikat wurde nicht gefunden oder vertrauenswürdigen durch den trust store, die war gefunden.
InformationsquelleAutor Kevin Bowersox

Ich diese Klasse verwenden und kein problem haben.

public class WCFs
{
    // https://192.168.30.8/myservice.svc?wsdl
private static final String NAMESPACE = "http://tempuri.org/";
private static final String URL = "192.168.30.8";
private static final String SERVICE = "/myservice.svc?wsdl";
private static String SOAP_ACTION = "http://tempuri.org/iWCFserviceMe/";


public static Thread myMethod(Runnable rp)
{
    String METHOD_NAME = "myMethod";

    SoapObject request = new SoapObject(NAMESPACE, METHOD_NAME);

    request.addProperty("Message", "Https WCF Running...");
    return _call(rp,METHOD_NAME, request);
}

protected static HandlerThread _call(final RunProcess rp,final String METHOD_NAME, SoapObject soapReq)
{
    final SoapSerializationEnvelope envelope = new SoapSerializationEnvelope(SoapEnvelope.VER11);
    int TimeOut = 5*1000;

    envelope.dotNet = true;
    envelope.bodyOut = soapReq;
    envelope.setOutputSoapObject(soapReq);

    final HttpsTransportSE httpTransport_net = new HttpsTransportSE(URL, 443, SERVICE, TimeOut);

    try
    {
        HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() //use this section if crt file is handmake
        {
            @Override
            public boolean verify(String hostname, SSLSession session)
            {
                return true;
            }
        });

        KeyStore k = getFromRaw(R.raw.key, "PKCS12", "password");
        ((HttpsServiceConnectionSE) httpTransport_net.getServiceConnection()).setSSLSocketFactory(getSSLSocketFactory(k, "SSL"));


    }
    catch(Exception e){}

    HandlerThread thread = new HandlerThread("wcfTd"+ Generator.getRandomNumber())
    {
        @Override
        public void run()
        {
            Handler h = new Handler(Looper.getMainLooper());
            Object response = null;

            for(int i=0; i<4; i++)
            {
                response = send(envelope, httpTransport_net , METHOD_NAME, null);

                try
                {if(Thread.currentThread().isInterrupted()) return;}catch(Exception e){}

                if(response != null)
                    break;

                ThreadHelper.threadSleep(250);
            }

            if(response != null)
            {
                if(rp != null)
                {
                    rp.setArguments(response.toString());
                    h.post(rp);
                }
            }
            else
            {
                if(Thread.currentThread().isInterrupted())
                    return;

                if(rp != null)
                {
                    rp.setExceptionState(true);
                    h.post(rp);
                }
            }

            ThreadHelper.stopThread(this);
        }
    };

    thread.start();

    return thread;
}


private static Object send(SoapSerializationEnvelope envelope, HttpTransportSE androidHttpTransport, String METHOD_NAME, List<HeaderProperty> headerList)
{
    try
    {
        if(headerList != null)
            androidHttpTransport.call(SOAP_ACTION + METHOD_NAME, envelope, headerList);
        else
            androidHttpTransport.call(SOAP_ACTION + METHOD_NAME, envelope);

        Object res = envelope.getResponse();

        if(res instanceof SoapPrimitive)
            return (SoapPrimitive) envelope.getResponse();
        else if(res instanceof SoapObject)
            return ((SoapObject) envelope.getResponse());
    }
    catch(Exception e)
    {}

    return null;
}

public static KeyStore getFromRaw(@RawRes int id, String algorithm, String filePassword)
{
    try
    {
        InputStream inputStream = ResourceMaster.openRaw(id);
        KeyStore keystore = KeyStore.getInstance(algorithm);
        keystore.load(inputStream, filePassword.toCharArray());
        inputStream.close();

        return keystore;
    }
    catch(Exception e)
    {}

    return null;
}

public static SSLSocketFactory getSSLSocketFactory(KeyStore trustKey, String SSLAlgorithm)
{
    try
    {
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(trustKey);

        SSLContext context = SSLContext.getInstance(SSLAlgorithm);//"SSL" "TLS"
        context.init(null, tmf.getTrustManagers(), null);

        return context.getSocketFactory();
    }
    catch(Exception e){}

    return null;
}

}

InformationsquelleAutor Ali Bagheri

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.