Android SSL证书固定与改造
[英]Android SSL certificate pinning with retrofit
问题描述
我想在Android应用程序中进行证书固定。 理解这一点我感到非常沮丧。 请帮我
我有的:-
- .cert类型证书文件。
- .key类型密钥文件,其中存储了私钥。
我没有实施此证书的域名。 我只有IP地址。 我正在使用okHttp并在我的项目中进行改造。 我已经看到很多堆栈溢出的例子来实现它。
但是我没有得到一些东西: - 1.如果我没有域名,是否可以将ssl实现为IP地址? 2. 引脚字段包含什么,我没有任何私钥。 我在哪里可以找到私钥(sha256 / XXXXXXXXXX)?
Retrofit provideRetrofit(OkHttpClient okHttpClient, Gson gson) {
CertificatePinner certPinner = new CertificatePinner.Builder()
.add("patternField","pins")
.build();
OkHttpClient okHttpClientForPinning = new OkHttpClient.Builder()
.certificatePinner(certPinner)
.build();
OkHttpClient.Builder clientBuilder = new OkHttpClient.Builder();
try {
clientBuilder.sslSocketFactory(getSSLConfig(context).getSocketFactory());
}
catch (Exception e) {
e.printStackTrace();
}
clientBuilder.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
boolean value = true;
//TODO:Some logic to verify your host and set value
return value;
}
});
return new Retrofit.Builder()
.baseUrl(backendUrl)
.client(okHttpClient)
.client(okHttpClientForPinning)
.addCallAdapterFactory(RxJava2CallAdapterFactory.create())
.addConverterFactory(GsonConverterFactory.create(gson))
.build();
}
1 个解决方案
解决方案1
0 2019-09-13 15:57:46
证书销
我没有实施此证书的域名。 我只有IP地址。
要通过IP地址获取服务器证书的引脚,您可以尝试以下bash脚本 :
#!/bin/bash
# Heavily inspired on:
# * https://medium.com/@appmattus/android-security-ssl-pinning-1db8acb6621e#ecea
set -eu
Main()
{
local domain="${1? Missing domain name to extract and hash the certificate public key !!!}"
local domain="${domain##*://}"
local certs=$( openssl s_client -servername "${domain}" -host "${domain}" -port 443 -showcerts </dev/null 2>/dev/null | sed -n '/Certificate chain/,/Server certificate/p' )
local rest=$certs
while [[ "$rest" =~ '-----BEGIN CERTIFICATE-----' ]]; do
cert="${rest%%-----END CERTIFICATE-----*}-----END CERTIFICATE-----"
rest=${rest#*-----END CERTIFICATE-----}
local certificate_name="$( echo "$cert" | grep 's:' | sed 's/.*s:\(.*\)/\1/' )"
if [ -n "${certificate_name}" ]; then
printf "\nCERTIFICATE NAME:\n\n${certificate_name} \n\n"
fi
printf "\nCERTIFICATE PUBLIC KEY HASH:\n\n"
echo "$cert" |
openssl x509 -pubkey -noout |
openssl rsa -pubin -outform der 2>/dev/null |
openssl dgst -sha256 -binary |
openssl enc -base64
echo
exit 0
done
}
Main ${@}
将bash脚本保存到文件并调用它:
bash hash-certificate-public-key-from-domain.bash ip-address-here
在我的个人网站上使用它的真实例子:
╭─exadra37@exadra37-Vostro-470 ~/Developer/Approov/currency-converter-demo ‹volley-pinning-with-approov_cleanup-proguard*›
╰─➤ ./bin/hash-certificate-public-key-from-domain.bash 68.183.252.187 130 ↵
CERTIFICATE NAME:
CN = exadra37.com
CERTIFICATE PUBLIC KEY HASH:
1O0wDRM/roe6UTctDVQ5aN/ASNYsGQFVzXYhO34t5GE=
╭─exadra37@exadra37-Vostro-470 ~/Developer/Approov/currency-converter-demo ‹volley-pinning-with-approov_cleanup-proguard*›
╰─➤ ./bin/hash-certificate-public-key-from-domain.bash exadra37.com
CERTIFICATE NAME:
CN = exadra37.com
CERTIFICATE PUBLIC KEY HASH:
1O0wDRM/roe6UTctDVQ5aN/ASNYsGQFVzXYhO34t5GE=
╭─exadra37@exadra37-Vostro-470 ~/Developer/Approov/currency-converter-demo ‹volley-pinning-with-approov_cleanup-proguard*›
╰─➤ ./bin/hash-certificate-public-key-from-domain.bash https://exadra37.com
CERTIFICATE NAME:
CN = exadra37.com
CERTIFICATE PUBLIC KEY HASH:
1O0wDRM/roe6UTctDVQ5aN/ASNYsGQFVzXYhO34t5GE=
如您所见,引脚1O0wDRM/roe6UTctDVQ5aN/ASNYsGQFVzXYhO34t5GE=的哈希值始终相同。
- 引脚字段包含什么,我没有任何私钥。 我在哪里可以找到私钥(sha256 / XXXXXXXXXX)?
私钥是私有的,因此如果你能找到它,那么所有安全性都将丢失,除非你还控制你要连接的服务器。 无论如何,你不需要它来执行证书固定,只需针对证书的公钥,通过生成它的哈希值,也就是一个引脚,就像上面的bash脚本一样。
所以你要找的sha256是上面脚本中引脚的输出,也就是我的例子中的1O0wDRM/roe6UTctDVQ5aN/ASNYsGQFVzXYhO34t5GE= 。
实施证书固定
虽然我不知道如何帮助您使用Retrofit,但我可以向您展示一种更简单的实现固定方式。
现在对于Android来说,存在一种更简单的方式,我在我的博客文章“ 使用证书固定确保HTTPS”中进行了描述,您可以通过将证书引脚添加到网络安全配置文件,或者如果您需要支持来了解它在API级别24以下,您可能希望将TrustKit包与文件一起使用。
使用TrustKit的示例network_security_config.xml :
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<!-- Official Android N API -->
<!--https://android-developers.googleblog.com/2016/07/changes-to-trusted-certificate.html-->
<domain-config>
<domain>currency-converter-demo.pdm.approov.io</domain>
<trust-anchors>
<!--<certificates src="user" />-->
<certificates src="system" />
</trust-anchors>
<pin-set>
<!-- Pin for: currency-converter-demo.pdm.approov.io -->
<pin digest="SHA-256">qXHiE7hFX2Kj4ZCtnr8u8yffl8w9CTv6kE0U5j0o1XY=</pin>
<!-- Backup Pin for: currency-converter-demo.pdm.approov.io -->
<pin digest="SHA-256">47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=</pin>
</pin-set>
<!-- TrustKit Android API -->
<!-- enforce pinning validation -->
<trustkit-config enforcePinning="true" disableDefaultReportUri="true">
<!-- Add a reporting URL for pin validation reports -->
<report-uri>https://report.domain</report-uri>
</trustkit-config>
</domain-config>
</network-security-config>
如何以编程方式在原生层 Android 中实现 SSL 证书锁定
[英]How to implement SSL Certificate Pinning in Native Layer Android programmatically
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.