使用 Retrofit Android 进行相互认证

Question

使用 Retrofit Android 进行相互认证

Bre*_*ruz 5 ssl android kotlin retrofit mutual-authentication

我需要在 api 请求上发送 .CRT 和 .KEY 文件。我设法使用 Postman 完成了请求，但我不知道如何在 android 代码中传递密钥。在此处输入图片说明

显像管：

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

Run Code Online (Sandbox Code Playgroud)

钥匙：

-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----

Run Code Online (Sandbox Code Playgroud)

这是我的客户

fun getClient(url: String, context: Context): Retrofit {

        // Loading CAs from an InputStream
        val cf: CertificateFactory = CertificateFactory.getInstance("X.509")

        val ca: Certificate = context.resources.openRawResource(R.raw.crt).use { cert ->  cf.generateCertificate(cert) }

        // Creating a KeyStore containing our trusted CAs
        val keyStoreType = KeyStore.getDefaultType()
        val keyStore = KeyStore.getInstance(keyStoreType).apply {
            load(null, null)
            setCertificateEntry("ca", ca)
        }

        // Creating a TrustManager that trusts the CAs in our KeyStore.
        val tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm()
        val tmf = TrustManagerFactory.getInstance(tmfAlgorithm).apply {
            init(keyStore)
        }

        val trustManager: X509TrustManager = tmf.trustManagers[0] as X509TrustManager

        // Creating an SSLSocketFactory that uses our TrustManager
        val sslContext = SSLContext.getInstance("TLS").apply {
            init(null, arrayOf<TrustManager>(trustManager), null)
        }

        val okHttpClient = OkHttpClient.Builder()
            .sslSocketFactory(sslContext.socketFactory, trustManager)
            .build()

        val json = GsonBuilder().setLenient().create()

        return Retrofit
            .Builder()
            .baseUrl(url)
            .client(okHttpClient)
            .addCallAdapterFactory(RxJavaCallAdapterFactory.create())
            .addConverterFactory(GsonConverterFactory.create(json))
            .build()
    }

Run Code Online (Sandbox Code Playgroud)

调用返回一个 throwable：

java.security.cert.CertPathValidatorException：未找到证书路径的信任锚。

我很感激谁能帮助我。对不起，我的英语不好。

Answer 1

Hak*_*n54 1

您的 Retrofit ssl 配置似乎与您配置邮递员的方式不匹配。在邮递员中，您已将其配置为在客户端证书配置部分中具有私钥和证书链。受信任的证书/CA 为空。现在，如果我们将其与您的改装配置进行比较，我可以看到您已将该certificate.crt文件添加为受信任的证书而不是客户端密钥材料。

由于我们没有证书，因此很难复制完全相同的情况，因此我从https://badssl.com/获取一个证书，我们可以用它来轻松测试此用例。

我在此处添加证书，但您可能需要从网站本身获取新证书，因为它们将过期。

对于此用例，您基本上需要 3 个文件：

客户端私钥
客户端证书链
可信服务器证书

1. 客户端私钥

Run Code Online (Sandbox Code Playgroud)

2.客户端证书链

Run Code Online (Sandbox Code Playgroud)

3.可信服务器证书

Run Code Online (Sandbox Code Playgroud)

有多种方法可以将这些文件加载到您的应用程序中并将它们转换为正确的 ssl 材料。使用 vanilla java，如果您的 pem 文件（私钥）具有不同的标头，您可能需要调整它。但对于上面的例子，下面的代码片段应该可以工作：

选项1

Run Code Online (Sandbox Code Playgroud)

这有点冗长，但这应该可以解决问题。我用 vanilla java 编写了这个，但是你的 IDEA 应该能够轻松地将其转换为 kotlin。

上述设置还有一个替代方案，我在自己的库中提供了它，请参阅此处：GitHub - SSLContext Kickstart请参阅下面的选项 2 下的示例用法。

选项2

X509ExtendedKeyManager keyManager = PemUtils.loadIdentityMaterial("certificate-chain-badssl.pem", "private-key-badssl.pem");
X509ExtendedTrustManager trustManager = PemUtils.loadTrustMaterial("badssl-server-certificate.pem");

SSLFactory sslFactory = SSLFactory.builder()
          .withIdentityMaterial(keyManager)
          .withTrustMaterial(trustManager)
          .build();

val okHttpClient = OkHttpClient.Builder()
        .sslSocketFactory(sslFactory.getSslSocketFactory(), sslFactory.getTrustManager().get())
        .build()

val json = GsonBuilder().setLenient().create()

val retrofit = Retrofit.Builder()
        .baseUrl("https://client.badssl.com/")
        .client(okHttpClient)
        .addConverterFactory(GsonConverterFactory.create(json))
        .build()

Run Code Online (Sandbox Code Playgroud)

归档时间：	5 年，10 月前
查看次数：	577 次
最近记录：	4 年，6 月前