无法从Android链中获取根CA证书

Question

我想做的事情很简单 - 我想在从 iOS 和 Android 应用程序连接到服务器时获得完整的证书链。

在 iOS 中，我正在使用NSURLSession和覆盖URLSession:didReceiveChallenge:方法，在该方法中我能够获取证书链，在这种情况下，它看起来像预期的那样：

[leaf certificate] - [intermediate certificate] - [root certificate]

迷人的。

现在我正在尝试在 Android 设备上使用HttpsURLConnection. 连接到服务器后，我正在使用方法获取证书链（或者至少我希望这是它的getServerCertificates()方法）。这将返回我的Certificate[]对象，我在其中获得了如下所示的链：

[leaf certificate] - [intermediate certificate]

因此，Android 设备上没有根证书。

您知道如何从Android中的链中获取根证书吗？

先感谢您。

Answer 1

你的问题显然很简单。我正在查看 TLS 规范中的服务器证书部分。看到这个帖子

该服务器必须发送一个订货者证书链开始与服务器证书和中间体但CA根是可选的，因为是由标准的根证书被独立地分布所需的。服务器通常不包含 CA 根

客户端验证在信任库中寻找根 CA 的链。验证由X509TrustManager执行返回找到的根证书是可取的，但是，如您所见，负责验证的方法会静默完成

 public void checkServerTrusted(X509Certificate[] chain, String authType)

已编辑 - 如何从 HTTPS 连接获得受信任的根

您可以使用可用的受信任证书列表来验证中间证书，以检查其中哪个是颁发者。（从这里和这里提取的代码

TrustManagerFactory tmf = TrustManagerFactory.getInstance(
        TrustManagerFactory.getDefaultAlgorithm());
// Initialise the TMF as you normally would, for example:
tmf.init((KeyStore)null); 

//get default X509TrustManager
TrustManager[] trustManagers = tmf.getTrustManagers();
final X509TrustManager x509Tm = (X509TrustManager)trustManagers[0];

//trusted certificate issuers
X509Certificate issuers[] = x509Tm.getAcceptedIssuers();

//Perform connection...
HttpsURLConnection conn =....

//get the last intermediate certificate from server certificates. 
//Fixme: if the server returns alsothe root certificate...
Certificate cert[] = conn.getServerCertificates();
X509Certificate intermediate = (X509Certificate)cert[cert.length-1];

for (int i = 0; i < issuers.length;i++){
    try{
        intermediate.verify(issuers[i].getPublicKey());
            //Verification ok. issuers[i] is the issuer
            return issuers[i];
        } catch (Exception e){}
    }
}