那些遇到过的问题

使用超过3g时未找到证书路径的信任锚,但在WiFi上工作正常

Hor*_*ndo 7 ssl android 3g

我的android项目正在使用api 15.我使用HttpsURLConnection类通过https连接到服务器.一切都可以正常通过WiFi,但如果我关闭WiFi并运行超过3克我得到以下内容:

javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.       at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:413)
   at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:257)       at libcore.net.http.HttpConnection.setupSecureSocket(HttpConnection.java:210)
   at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.makeSslConnection(HttpsURLConnectionImpl.java:477)
   at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.connect(HttpsURLConnectionImpl.java:432)
   at libcore.net.http.HttpEngine.sendSocketRequest(HttpEngine.java:282)
   at libcore.net.http.HttpEngine.sendRequest(HttpEngine.java:232)       at libcore.net.http.HttpURLConnectionImpl.connect(HttpURLConnectionImpl.java:80)
   at libcore.net.http.HttpURLConnectionImpl.getOutputStream(HttpURLConnectionImpl.java:188)       at libcore.net.http.HttpsURLConnectionImpl.getOutputStream(HttpsURLConnectionImpl.java:280)
Run Code Online (Sandbox Code Playgroud)

如果我做错了什么,为什么它会通过WiFi工作?

这里有更多信息.

如果我使用openssl查看服务器证书信息,

echo | openssl s_client -connect myserver.com:443
Run Code Online (Sandbox Code Playgroud)

返回服务器级自签名证书,而

echo | openssl s_client -connect myserver.com:443 -servername myserver.com
Run Code Online (Sandbox Code Playgroud)

返回"正确"的证书.我的服务器上有多个vhost,每个都有自己的rapidssl发布的证书,所以我认为这意味着我需要使用支持TLS的客户端.至少这是我对启动时Apache日志中看到的消息的解释:

Name-based SSL virtual hosts only work for clients with TLS server name indication support
Run Code Online (Sandbox Code Playgroud)

如果到目前为止我是正确的,这是否意味着我的移动3G网络可能与TLS搞砸了或者我还应该做些什么呢?

可以通过继承DefaultHttpClient并导入包含服务器自签名证书的密钥库获得超过3g的工作,但这绝对不是我的首选选项.

Efe*_*man 0

添加-servername选项只是设置消息Server Name Indication中的字段Client Hello,如果目标主机包含许多证书,这有助于我们选择正确的证书,就像您的情况一样。但是,这与问题无关。

在 SSL 握手期间,证书以主题/颁发者对的形式传递,形成证书链。

google.com证书链如下所示:

openssl s_client -connect google.com:443
CONNECTED(00000003)
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---
Run Code Online (Sandbox Code Playgroud)

收到后,客户端尝试从下到上(根)验证链中的所有发行者。如果客户端无法验证根证书, Trust anchor for certification path not found则会显示消息。

因此,回到 WiFi/3G 问题,您的移动网络的 DNS 可能无法解析证书链中中间颁发者之一的地址。

更新:

您可以将颁发者的证书放入 APK 中,并TrustManager在代码中添加 via。这种方法可以克服接入网络限制(如果有的话)。

归档时间:

查看次数:

2424 次

最近记录:

10 年,2 月 前
SSL握手时是否检查服务器的域名 2
更多相关链接
相关归档
Android Gradle Apache HttpClient不存在? 255
无法将使用JVM目标1.8构建的字节码内联到使用JVM目标1.6构建的字节码中 221
如何将多个原始参数传递给AsyncTask? 77
android.intent.action.MAIN是什么意思? 71
将CardView置于RecyclerView中,只有一个元素 35
WebSockets:通过ELB从客户端到Amazon AWS EC2实例 15
HttpsUrlConnection(通过Jersey客户端调用)不调用set SSLSocketFactory的createSocket 8
为什么浏览器接受通过非安全(HTTP)连接发送的安全cookie? 6
我可以使用JS加密而不是SSL来进行信用卡付款吗? 2
如何为camel-https4配置trustStore 2
难疑归档
如何强制"git pull"覆盖本地文件? 6654
使用Git将特定文件重置或还原到特定版本? 4255
为什么打印"B"比打印"#"要慢得多? 2662
如何在Python中复制文件? 2171
PostgreSQL"DESCRIBE TABLE" 1790
如何将元素移动到另一个元素? 1611
我怎样才能存储特定文件? 1422
int32的最大值是多少? 1383
如何获得最近提交的Git分支列表? 1197
在JavaScript中将Unix时间戳转换为时间 1054