AndroidシステムSSL証明書を維持しながらプログラムで認証局を追加する

Question

StackOverflowに関するこのトピックについては多くの質問がありますが、私の問題に関連する質問を見つけられないようです。

Androidアプリケーションがあります。一部はAndroidシステムキーストア（一般的なHTTPS Webサイト））に登録されたCAで署名されており、一部は私が所有しているCAで署名されているが、Androidシステムキーストア（たとえば、自動署名された証明書を持つサーバー）など）にはない.

プログラムでCAを追加し、すべてのHTTPS接続で強制的にそれを使用する方法を知っています。次のコードを使用します。

_public class SslCertificateAuthority { public static void addCertificateAuthority(InputStream inputStream) { try { // Load CAs from an InputStream // (could be from a resource or ByteArrayInputStream or ...) CertificateFactory cf = CertificateFactory.getInstance("X.509"); InputStream caInput = new BufferedInputStream(inputStream); Certificate ca; try { ca = cf.generateCertificate(caInput); } finally { caInput.close(); } // Create a KeyStore containing our trusted CAs String keyStoreType = KeyStore.getDefaultType(); KeyStore keyStore = KeyStore.getInstance(keyStoreType); keyStore.load(null, null); keyStore.setCertificateEntry("ca", ca); // Create a TrustManager that trusts the CAs in our KeyStore String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm(); TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm); tmf.init(keyStore); // Create an SSLContext that uses our TrustManager SSLContext context = SSLContext.getInstance("TLS"); context.init(null, tmf.getTrustManagers(), null); // Tell the URLConnection to use a SocketFactory from our SSLContext HttpsURLConnection.setDefaultSSLSocketFactory(context.getSocketFactory()); } catch (CertificateException e) { e.printStackTrace(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } catch (KeyStoreException e) { e.printStackTrace(); } catch (KeyManagementException e) { e.printStackTrace(); } catch (MalformedURLException e) { e.printStackTrace(); } catch (IOException e) { e.printStackTrace(); } } } _

ただし、これを行うと、Androidシステムキーストアの使用が無効になり、他のCAで署名されたHTTPSサイトをクエリできなくなります。

私はAndroidキーストアにCAを追加しようとしました：

_KeyStore.getInstance("AndroidCAStore") _

...しかし、CAを追加できません（例外が起動します）。

静的グローバルHttpsURLConnection.setSSLSocketFactory(...)の代わりにインスタンスメソッドHttpsURLConnection.setDefaultSSLSocketFactory(...)を使用して、ケースバイケースでCAを使用する必要があることを通知できます。

しかし、事前に構成されたHttpsURLConnectionオブジェクトを一部のライブラリに渡すことができない場合があるため、それはまったく実用的ではありません。

私がそれをどのように行うことができるかについてのいくつかのアイデア？

編集-回答

さて、与えられたアドバイスに従って、これが私の作業コードです。いくつかの拡張が必要かもしれませんが、それは出発点として機能するようです。

_public class SslCertificateAuthority { private static class UnifiedTrustManager implements X509TrustManager { private X509TrustManager defaultTrustManager; private X509TrustManager localTrustManager; public UnifiedTrustManager(KeyStore localKeyStore) throws KeyStoreException { try { this.defaultTrustManager = createTrustManager(null); this.localTrustManager = createTrustManager(localKeyStore); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } } private X509TrustManager createTrustManager(KeyStore store) throws NoSuchAlgorithmException, KeyStoreException { String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm(); TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm); tmf.init((KeyStore) store); TrustManager[] trustManagers = tmf.getTrustManagers(); return (X509TrustManager) trustManagers[0]; } public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException { try { defaultTrustManager.checkServerTrusted(chain, authType); } catch (CertificateException ce) { localTrustManager.checkServerTrusted(chain, authType); } } @Override public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException { try { defaultTrustManager.checkClientTrusted(chain, authType); } catch (CertificateException ce) { localTrustManager.checkClientTrusted(chain, authType); } } @Override public X509Certificate[] getAcceptedIssuers() { X509Certificate[] first = defaultTrustManager.getAcceptedIssuers(); X509Certificate[] second = localTrustManager.getAcceptedIssuers(); X509Certificate[] result = Arrays.copyOf(first, first.length + second.length); System.arraycopy(second, 0, result, first.length, second.length); return result; } } public static void setCustomCertificateAuthority(InputStream inputStream) { try { // Load CAs from an InputStream // (could be from a resource or ByteArrayInputStream or ...) CertificateFactory cf = CertificateFactory.getInstance("X.509"); InputStream caInput = new BufferedInputStream(inputStream); Certificate ca; try { ca = cf.generateCertificate(caInput); System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN()); } finally { caInput.close(); } // Create a KeyStore containing our trusted CAs String keyStoreType = KeyStore.getDefaultType(); KeyStore keyStore = KeyStore.getInstance(keyStoreType); keyStore.load(null, null); keyStore.setCertificateEntry("ca", ca); // Create a TrustManager that trusts the CAs in our KeyStore and system CA UnifiedTrustManager trustManager = new UnifiedTrustManager(keyStore); // Create an SSLContext that uses our TrustManager SSLContext context = SSLContext.getInstance("TLS"); context.init(null, new TrustManager[]{trustManager}, null); // Tell the URLConnection to use a SocketFactory from our SSLContext HttpsURLConnection.setDefaultSSLSocketFactory(context.getSocketFactory()); } catch (CertificateException e) { e.printStackTrace(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } catch (KeyStoreException e) { e.printStackTrace(); } catch (KeyManagementException e) { e.printStackTrace(); } catch (MalformedURLException e) { e.printStackTrace(); } catch (IOException e) { e.printStackTrace(); } } } _

Okas · Answer

カスタムのトラストマネージャーを実装して、カスタムの証明書をチェックし、これが失敗した場合はAndroid組み込みの証明書です。

この記事をご覧ください： Androidでのカスタム証明書信頼ストアの使用。

「動的TrustManagerの作成」の段落は、あなたが求めていることを正確に処理すると思います。

Dmitry · Answer

それは古い質問ですが、同じ問題に遭遇したので、おそらく私の回答を投稿する価値があります。 KeyStore.getInstance("AndroidCAStore")に証明書を追加しようとしましたが、例外が発生しました。実際には、反対のことを行っているはずです。そのキーストアから、作成したキーストアにエントリを追加します。私のコードはあなたのコードとは少し異なります。真ん中の部分だけが重要であるとしても、完全な答えを出すためにそれを投稿します。

KeyStore keyStore=KeyStore.getInstance("BKS"); InputStream in=activity.getResources().openRawResource(R.raw.my_ca); try { keyStore.load(in,"PASSWORD_HERE".toCharArray()); } finally { in.close(); } KeyStore defaultCAs=KeyStore.getInstance("AndroidCAStore"); if(defaultCAs!=null) { defaultCAs.load(null,null); Enumeration<String> keyAliases=defaultCAs.aliases(); while(keyAliases.hasMoreElements()) { String alias=keyAliases.nextElement(); Certificate cert=defaultCAs.getCertificate(alias); try { if(!keyStore.containsAlias(alias)) keyStore.setCertificateEntry(alias,cert); } catch(Exception e) { System.out.println("Error adding "+e); } } } TrustManagerFactory tmf=TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); tmf.init(keyStore); // Get a new SSL context SSLContext ctx = SSLContext.getInstance("SSL"); ctx.init(null,tmf.getTrustManagers(),new Java.security.SecureRandom()); return ctx.getSocketFactory();