Как прикрепить сертификат к Square OKHTTP?

ОБНОВЛЕНИЕ ДЛЯ ОХТТП 3.0

OKHTTP 3.0 имеет встроенную поддержку для закрепления сертификатов. Начните с вставки следующего кода:

 String hostname = "yourdomain.com";
 CertificatePinner certificatePinner = new CertificatePinner.Builder()
     .add(hostname, "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=")
     .build();
 OkHttpClient client = OkHttpClient.Builder()
     .certificatePinner(certificatePinner)
     .build();

 Request request = new Request.Builder()
     .url("https://" + hostname)
     .build();
 client.newCall(request).execute();

Это не удастся, потому что AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA не является допустимым хэшем вашего сертификата. Вызванное исключение будет иметь правильные хэши вашего сертификата:

 javax.net.ssl.SSLPeerUnverifiedException: Certificate pinning failure!
   Peer certificate chain:
     sha256/afwiKY3RxoMmLkuRW1l7QsPZTJPwDS2pdDROQjXw8ig=: CN=publicobject.com, OU=PositiveSSL
     sha256/klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY=: CN=COMODO RSA Secure Server CA
     sha256/grX4Ta9HpZx6tSHkmCrvpApTQGo67CYDnvprLg5yRME=: CN=COMODO RSA Certification Authority
     sha256/lCppFqbkrlJ3EcVFAkeip0+44VaoJUymbnOaEUk7tEU=: CN=AddTrust External CA Root
   Pinned certificates for publicobject.com:
     sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
   at okhttp3.CertificatePinner.check(CertificatePinner.java)
   at okhttp3.Connection.upgradeToTls(Connection.java)
   at okhttp3.Connection.connect(Connection.java)
   at okhttp3.Connection.connectAndSetOwner(Connection.java)

Убедитесь, что вы добавили их в свой объект CertificatePinner, и вы успешно закрепили свой сертификат:

 CertificatePinner certificatePinner = new CertificatePinner.Builder()
   .add("publicobject.com", "sha256/afwiKY3RxoMmLkuRW1l7QsPZTJPwDS2pdDROQjXw8ig=")
   .add("publicobject.com", "sha256/klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY=")
   .add("publicobject.com", "sha256/grX4Ta9HpZx6tSHkmCrvpApTQGo67CYDnvprLg5yRME=")
   .add("publicobject.com", "sha256/lCppFqbkrlJ3EcVFAkeip0+44VaoJUymbnOaEUk7tEU=")
   .build();

ВСЕ ПРОШЛОЕ ЗДЕСЬ ДЛЯ СТАРЫХ (2.x) ВЕРСИЙ OKHTTP

Прочитав эту запись в блоге Мне удалось изменить концепцию для использования с OkHttp. Вам следует использовать как минимум версию 2.0, если вы хотите избежать использования глобального контекста SSL.

Это изменение применяется только к текущему экземпляру OkHttp и изменяет этот экземпляр таким образом, что он только принимает сертификаты из указанного сертификата. Если вы хотите, чтобы принимались другие сертификаты (например, сертификат из Twitter), вам просто нужно создать новый экземпляр OkHttp без модификаций, описанных ниже.

1. Создание хранилища доверия

Чтобы закрепить сертификат, вам сначала нужно создать хранилище доверенных сертификатов, содержащее этот сертификат. Для создания доверенного хранилища воспользуемся вот этим удобным скриптом от nelenkov, немного модифицированным для наших целей:

#!/bin/bash

if [ "$#" -ne 3 ]; then
  echo "Usage: importcert.sh <CA cert PEM file> <bouncy castle jar> <keystore pass>"
  exit 1
fi

CACERT=$1
BCJAR=$2
SECRET=$3

TRUSTSTORE=mytruststore.bks
ALIAS=`openssl x509 -inform PEM -subject_hash -noout -in $CACERT`

if [ -f $TRUSTSTORE ]; then
    rm $TRUSTSTORE || exit 1
fi

echo "Adding certificate to $TRUSTSTORE..."
keytool -import -v -trustcacerts -alias $ALIAS \
      -file $CACERT \
      -keystore $TRUSTSTORE -storetype BKS \
      -providerclass org.bouncycastle.jce.provider.BouncyCastleProvider \
      -providerpath $BCJAR \
      -storepass $SECRET

echo "" 
echo "Added '$CACERT' with alias '$ALIAS' to $TRUSTSTORE..."

Для запуска этого скрипта вам нужно 3 вещи:

1. Убедитесь, что keytool (входит в Android SDK) находится в вашей переменной $PATH.
2. Убедитесь, что у вас есть последний загружаемый файл jar BouncyCastle в том же каталоге, что и скрипт. (Скачать здесь)
3. Сертификат, который вы хотите закрепить.

Теперь запустите скрипт

./gentruststore.sh your_cert.pem bcprov-jdk15on-150.jar your_secret_pass

Введите «да», чтобы доверять сертификату, и по завершении mytruststore.bks будет сгенерирован в вашем текущем каталоге.

2. Примените TrustStore к своему проекту Android

Создайте каталог raw в папке res. Скопируйте mytruststore.bks сюда.

Вот очень простой класс, который прикрепляет ваш сертификат к OkHttp.

import android.content.Context;
import android.util.Log;

import com.squareup.okhttp.OkHttpClient;
import com.squareup.okhttp.Request;
import com.squareup.okhttp.Response;

import java.io.InputStream;
import java.io.Reader;
import java.security.KeyStore;

import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManagerFactory;


/**
 * Created by martin on 02/06/14.
 */
public class Pinning {

    Context context;
    public static String TRUST_STORE_PASSWORD = "your_secret";
    private static final String ENDPOINT = "https://api.yourdomain.com/";

    public Pinning(Context c) {
        this.context = c;
    }

    private SSLSocketFactory getPinnedCertSslSocketFactory(Context context) {
        try {
            KeyStore trusted = KeyStore.getInstance("BKS");
            InputStream in = context.getResources().openRawResource(R.raw.mytruststore);
            trusted.load(in, TRUST_STORE_PASSWORD.toCharArray());
            SSLContext sslContext = SSLContext.getInstance("TLS");
            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
                    TrustManagerFactory.getDefaultAlgorithm());
            trustManagerFactory.init(trusted);
            sslContext.init(null, trustManagerFactory.getTrustManagers(), null);
            return sslContext.getSocketFactory();
        } catch (Exception e) {
            Log.e("MyApp", e.getMessage(), e);
        }
        return null;
    }

    public void makeRequest() {
        try {
            OkHttpClient client = new OkHttpClient();
            client.setSslSocketFactory(getPinnedCertSslSocketFactory(context));

            Request request = new Request.Builder()
                    .url(ENDPOINT)
                    .build();

            Response response = client.newCall(request).execute();

            Log.d("MyApp", response.body().string());

        } catch (Exception e) {
            Log.e("MyApp", e.getMessage(), e);

        }
    }
}

Как видите, мы создаем новый экземпляр OkHttpClient и вызываем setSslSocketFactory, передавая SSLSocketFactory с нашим пользовательским хранилищем доверенных сертификатов. Убедитесь, что вы установили TRUST_STORE_PASSWORD на пароль, который вы передали в сценарий оболочки. Теперь ваш экземпляр OkHttp должен принимать только указанный вами сертификат.

Это проще, чем я думал, с OkHttp.

Следуй этим шагам:

<сильный>1. Получите открытые ключи sha1. Документация OkHttp дает нам ясный способ сделать это вместе с примером кода. На случай, если он исчезнет, ​​вот он вставлен ниже:

Например, чтобы закрепить https://publicobject.com, начните с неработающей конфигурации:

String hostname = "publicobject.com";
CertificatePinner certificatePinner = new CertificatePinner.Builder()
    .add(hostname, "sha1/BOGUSPIN")
    .build();
OkHttpClient client = new OkHttpClient();
client.setCertificatePinner(certificatePinner);

Request request = new Request.Builder()
    .url("https://" + hostname)
    .build();
client.newCall(request).execute();   

Как и ожидалось, это не удается с исключением привязки сертификата:

javax.net.ssl.SSLPeerUnverifiedException: ошибка закрепления сертификата!
Цепочка сертификатов одноранговых узлов: sha1/DmxUShsZuNiqPQsX2Oi9uv2sCnw=: CN=publicobject.com, OU=PositiveSSL sha1/SXxoaOSEzPC6BgGmxAt/EAcsajw=: CN=COMODO RSA Domain Validation Secure Server CA sha1 /blhOM3W9V/bVQhsWAcLYwPU6n24=: CN=COMODO RSA Certification Authority sha1/T5x9IXmcrQ7YuQxXnxoCmeeQ84c=: CN=AddTrust External CA Root

Закрепленные сертификаты для publicobject.com:

sha1/BOGUSPIN
на com.squareup.okhttp.CertificatePinner.check(CertificatePinner.java)
на com.squareup.okhttp.Connection.upgradeToTls(Connection.java)
на com.squareup.okhttp.Connection .connect(Connection.java)
на com.squareup.okhttp.Connection.connectAndSetOwner(Connection.java)

Затем вставьте хэши открытого ключа из исключения в конфигурацию пиннера сертификатов:

Примечание: если вы делаете это на Android, вы получите отдельное исключение, если вы делаете это в потоке пользовательского интерфейса, поэтому убедитесь, что вы делаете это в фоновом потоке.

<сильный>2. Настройте клиент OkHttp:

OkHttpClient client = new OkHttpClient();
client.setCertificatePinner(new CertificatePinner.Builder()
       .add("publicobject.com", "sha1/DmxUShsZuNiqPQsX2Oi9uv2sCnw=")
       .add("publicobject.com", "sha1/SXxoaOSEzPC6BgGmxAt/EAcsajw=")
       .add("publicobject.com", "sha1/blhOM3W9V/bVQhsWAcLYwPU6n24=")
       .add("publicobject.com", "sha1/T5x9IXmcrQ7YuQxXnxoCmeeQ84c=")
       .build());

Вот и все!

Если у вас нет доступа к домену (например, ограниченный доступ) и вы не можете проверить поддельный хэш, но у вас есть файл сертификата, вы можете использовать openssl для его получения:

openssl x509 -in cert.pem -pubkey -noout | openssl rsa -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64

Чтобы расширить образец, исходный код @Michael-barany поделился, я провел некоторое тестирование, и похоже, что это вводящий в заблуждение пример кода. В примере кода исключение отметило 4 хэша sha1 из исключения цепочки сертификатов:

javax.net.ssl.SSLPeerUnverifiedException: Certificate pinning failure!
Peer certificate chain:
sha1/DmxUShsZuNiqPQsX2Oi9uv2sCnw=: CN=publicobject.com, OU=PositiveSSL
sha1/SXxoaOSEzPC6BgGmxAt/EAcsajw=: CN=COMODO RSA Domain Validation Secure Server CA
sha1/blhOM3W9V/bVQhsWAcLYwPU6n24=: CN=COMODO RSA Certification Authority
sha1/T5x9IXmcrQ7YuQxXnxoCmeeQ84c=: CN=AddTrust External CA Root

затем впоследствии добавил все 4 хэша открытого ключа sha1 в CertificatePinner Builder.

CertificatePinner certificatePinner = new CertificatePinner.Builder()
.add("publicobject.com", "sha1/DmxUShsZuNiqPQsX2Oi9uv2sCnw=")
.add("publicobject.com", "sha1/SXxoaOSEzPC6BgGmxAt/EAcsajw=")
.add("publicobject.com", "sha1/blhOM3W9V/bVQhsWAcLYwPU6n24=")
.add("publicobject.com", "sha1/T5x9IXmcrQ7YuQxXnxoCmeeQ84c=")
.build();

Однако, учитывая тесты, которые я выполнил и просмотрел код, будет интерпретирован только первый действительный, поэтому вам лучше всего включить только ОДИН из возвращаемых хэшей. Вы можете использовать наиболее конкретный хеш "DmxUShsZuNiqPQsX2Oi9uv2sCnw" для точного сертификата сайта... или вы можете использовать самый широкий хэш "T5x9IXmcrQ7YuQxXnxoCmeeQ84c" для корневого центра сертификации в зависимости от желаемого состояния безопасности.

Я нашел пример, упомянутый в разделе Неизвестный центр сертификации этой ссылки developer.android.com/training/articles/security-ssl очень полезно.

SSLSocketFactory, возвращенный в context.getSocketFactory(), можно затем использовать для установки OkHttpClient в методе setSslSocketFactory().

Примечание. В разделе «Неизвестный центр сертификации» также упоминается ссылка для загрузки файла сертификата для использования и проверки этого кода.

Вот пример метода, который я написал для получения SSLSocketFactory.

private SSLSocketFactory getSslSocketFactory() {
    try {
        // Load CAs from an InputStream
        // (could be from a resource or ByteArrayInputStream or ...)
        CertificateFactory cf = CertificateFactory.getInstance("X.509");
        // From https://www.washington.edu/itconnect/security/ca/load-der.crt
        InputStream caInput = getApplicationContext().getResources().openRawResource(R.raw.loadder);
        Certificate ca = null;
        try {
            ca = cf.generateCertificate(caInput);
            System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
        } catch (CertificateException e) {
            e.printStackTrace();
        } finally {
            caInput.close();
        }

        // Create a KeyStore containing our trusted CAs
        String keyStoreType = KeyStore.getDefaultType();
        KeyStore keyStore = KeyStore.getInstance(keyStoreType);
        keyStore.load(null, null);
        if (ca == null)
            return null;
        keyStore.setCertificateEntry("ca", ca);

        // Create a TrustManager that trusts the CAs in our KeyStore
        String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
        tmf.init(keyStore);

        // Create an SSLContext that uses our TrustManager
        SSLContext context = SSLContext.getInstance("TLS");
        context.init(null, tmf.getTrustManagers(), null);

        return context.getSocketFactory();
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
    } catch (IOException e) {
        e.printStackTrace();
    } catch (KeyStoreException e) {
        e.printStackTrace();
    } catch (KeyManagementException e) {
        e.printStackTrace();
    } catch (Exception e) {
        e.printStackTrace();
    }
    return null;
}

Позже я просто устанавливаю это на OkHttpClient, как это

httpClient.setSslSocketFactory(sslSocketFactory);

а затем сделать вызов https

httpClient.newCall(requestBuilder.build()).enqueue(callback);