文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >SSL钉扎的Sporadicall错误

SSL钉扎的Sporadicall错误
EN

Stack Overflow用户
提问于 2012-06-04 11:11:31
回答 1查看 1.3K关注 0票数 2

我试图按照以下方法实现SSL钉扎:

http://blog.crazybob.org/2010/02/android-trusting-ssl-certificates.html

策略是将受信任的证书放入BKS密钥存储库,并扩展HTTPClient使用的SSLSocketFactory,以便只接受密钥库中包含的证书。

它在多个测试设备(Nexus、三星S1、Wildfire等)上都工作得很好,除了三星Galaxy S2 (2.3.6的欧洲版本)。偶尔(一次尝试3-4),我得到了一条错误消息:

  • 错误:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block类型不是01 (SHA-1)
  • 错误:04067084:rsa routines:RSA_EAY_PUBLIC_DECRYPT:data太大而不能模数(SHA-1)

只有在BKS中具有相同CNAME条目的多个键时,问题才会发生。当我在keystore中只放一个键时,每次都能正常工作。不过,如果我想改变我的后端证书,有一个平稳的过渡时期,我需要应用程序能够接受两个键为同一主机。

任何想法的错误信息可能是什么原因和如何规避它,将受到高度赞赏。

谢谢!

openssl
httpclient
bouncycastle
android
ssl
EN

回答 1

Stack Overflow用户

发布于 2013-12-02 06:37:46

策略是将受信任的证书放在BKS中,并扩展HTTPClient使用的HTTPClient,以便只接受密钥库中包含的证书。

对于固定,只需扩展X509TrustManager并覆盖checkServerTrusted

一个例子可以在OWASP的证书和公钥钉扎上找到(参见Android示例)。所有示例从random.org中获取随机字节并锁定站点的证书,以确保不存在PKI有趣的业务:

代码语言:javascript
复制
public final class PubKeyManager implements X509TrustManager
{
  private static String PUB_KEY = "30820122300d06092a864886f70d0101" +
    "0105000382010f003082010a0282010100b35ea8adaf4cb6db86068a836f3c85" +
    "5a545b1f0cc8afb19e38213bac4d55c3f2f19df6dee82ead67f70a990131b6bc" +
    "ac1a9116acc883862f00593199df19ce027c8eaaae8e3121f7f329219464e657" +
    "2cbf66e8e229eac2992dd795c4f23df0fe72b6ceef457eba0b9029619e0395b8" +
    "609851849dd6214589a2ceba4f7a7dcceb7ab2a6b60c27c69317bd7ab2135f50" +
    "c6317e5dbfb9d1e55936e4109b7b911450c746fe0d5d07165b6b23ada7700b00" +
    "33238c858ad179a82459c4718019c111b4ef7be53e5972e06ca68a112406da38" +
    "cf60d2f4fda4d1cd52f1da9fd6104d91a34455cd7b328b02525320a35253147b" +
    "e0b7a5bc860966dc84f10d723ce7eed5430203010001";

  public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException
  {
    if (chain == null) {
      throw new IllegalArgumentException("checkServerTrusted: X509Certificate array is null");
    }

    if (!(chain.length > 0)) {
      throw new IllegalArgumentException("checkServerTrusted: X509Certificate is empty");
    }

    if (!(null != authType && authType.equalsIgnoreCase("RSA"))) {
      throw new CertificateException("checkServerTrusted: AuthType is not RSA");
    }

    // Perform customary SSL/TLS checks
    try {
      TrustManagerFactory tmf = TrustManagerFactory.getInstance("X509");
      tmf.init((KeyStore) null);

      for (TrustManager trustManager : tmf.getTrustManagers()) {
        ((X509TrustManager) trustManager).checkServerTrusted(chain, authType);
      }
    } catch (Exception e) {
      throw new CertificateException(e);
    }

    // Hack ahead: BigInteger and toString(). We know a DER encoded Public Key begins
    // with 0x30 (ASN.1 SEQUENCE and CONSTRUCTED), so there is no leading 0x00 to drop.
    RSAPublicKey pubkey = (RSAPublicKey) chain[0].getPublicKey();
    String encoded = new BigInteger(1 /* positive */, pubkey.getEncoded()).toString(16);

    // Pin it!
    final boolean expected = PUB_KEY.equalsIgnoreCase(encoded);
    if (!expected) {
      throw new CertificateException("checkServerTrusted: Expected public key: "
                + PUB_KEY + ", got public key:" + encoded);
      }
    }
  }
}
票数 3
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/10880303

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档