HTTPS経由のHttpClientを使用してすべての証明書を信頼する


393

最近、HttpClientHTTPS に関する質問を投稿しましたここにあります)。私は少し前進しましたが、新しい問題に出くわしました。私の最後の問題と同様に、私のために機能する例をどこにも見つけることができないようです。基本的に、私はクライアントに証明書を受け入れてもらいたいのですが(私は1つのサーバーしか指していないため)、javax.net.ssl.SSLException: Not trusted server certificate exception.

これが私が持っているものです:


    public void connect() throws A_WHOLE_BUNCH_OF_EXCEPTIONS {

        HttpPost post = new HttpPost(new URI(PROD_URL));
        post.setEntity(new StringEntity(BODY));

        KeyStore trusted = KeyStore.getInstance("BKS");
        trusted.load(null, "".toCharArray());
        SSLSocketFactory sslf = new SSLSocketFactory(trusted);
        sslf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

        SchemeRegistry schemeRegistry = new SchemeRegistry();
        schemeRegistry.register(new Scheme ("https", sslf, 443));
        SingleClientConnManager cm = new SingleClientConnManager(post.getParams(),
                schemeRegistry);

        HttpClient client = new DefaultHttpClient(cm, post.getParams());
        HttpResponse result = client.execute(post);
    }

そしてここに私が得ているエラーがあります:

    W/System.err(  901): javax.net.ssl.SSLException: Not trusted server certificate 
    W/System.err(  901):    at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:360) 
    W/System.err(  901):    at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:92) 
    W/System.err(  901):    at org.apache.http.conn.ssl.SSLSocketFactory.connectSocket(SSLSocketFactory.java:321) 
    W/System.err(  901):    at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:129) 
    W/System.err(  901):    at org.apache.http.impl.conn.AbstractPoolEntry.open(AbstractPoolEntry.java:164) 
    W/System.err(  901):    at org.apache.http.impl.conn.AbstractPooledConnAdapter.open(AbstractPooledConnAdapter.java:119) 
    W/System.err(  901):    at org.apache.http.impl.client.DefaultRequestDirector.execute(DefaultRequestDirector.java:348) 
    W/System.err(  901):    at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:555) 
    W/System.err(  901):    at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:487) 
    W/System.err(  901):    at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:465) 
    W/System.err(  901):    at me.harrisonlee.test.ssl.MainActivity.connect(MainActivity.java:129) 
    W/System.err(  901):    at me.harrisonlee.test.ssl.MainActivity.access$0(MainActivity.java:77) 
    W/System.err(  901):    at me.harrisonlee.test.ssl.MainActivity$2.run(MainActivity.java:49) 
    W/System.err(  901): Caused by: java.security.cert.CertificateException: java.security.InvalidAlgorithmParameterException: the trust anchors set is empty 
    W/System.err(  901):    at org.apache.harmony.xnet.provider.jsse.TrustManagerImpl.checkServerTrusted(TrustManagerImpl.java:157) 
    W/System.err(  901):    at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:355) 
    W/System.err(  901):    ... 12 more 
    W/System.err(  901): Caused by: java.security.InvalidAlgorithmParameterException: the trust anchors set is empty 
    W/System.err(  901):    at java.security.cert.PKIXParameters.checkTrustAnchors(PKIXParameters.java:645) 
    W/System.err(  901):    at java.security.cert.PKIXParameters.<init>(PKIXParameters.java:89) 
    W/System.err(  901):    at org.apache.harmony.xnet.provider.jsse.TrustManagerImpl.<init>(TrustManagerImpl.java:89) 
    W/System.err(  901):    at org.apache.harmony.xnet.provider.jsse.TrustManagerFactoryImpl.engineGetTrustManagers(TrustManagerFactoryImpl.java:134) 
    W/System.err(  901):    at javax.net.ssl.TrustManagerFactory.getTrustManagers(TrustManagerFactory.java:226)W/System.err(  901):     at org.apache.http.conn.ssl.SSLSocketFactory.createTrustManagers(SSLSocketFactory.java:263) 
    W/System.err(  901):    at org.apache.http.conn.ssl.SSLSocketFactory.<init>(SSLSocketFactory.java:190) 
    W/System.err(  901):    at org.apache.http.conn.ssl.SSLSocketFactory.<init>(SSLSocketFactory.java:216) 
    W/System.err(  901):    at me.harrisonlee.test.ssl.MainActivity.connect(MainActivity.java:107) 
    W/System.err(  901):    ... 2 more

17
これは内部で使用するために必要でした。あなたがアプリを中間者攻撃に開放しているため、社外のユーザーにアプリの使用を許可していないことを願っています。それにもかかわらず、実際の証明書を取得するまで、いくつかのテストのためにこれを一時的に実行する必要があります.....うまくいけば、同じ一時的な種類の理由でアプリを実行しているか、アプリが内部でのみ使用されています。
ディーンヒラー、2011年

これらのソリューションを4.3 apache httpクライアントで試しましたが、ほとんどは非推奨です。以下は非推奨のソリューションではありません:stackoverflow.com/a/18941950/2039471
Alexander Chzhen 2013

Java 1.6にはSNIのサポートがないため、これらのシナリオでも問題があります。要求を適切に作成しないと、要求と一致しない証明書を取得する可能性があります。issues.apache.org/jira/browse/HTTPCLIENT-1119を
ブロンデイヴィス

2
この質問は、誤った推論の例として、「世界で最も危険なコード」ペーパーに引用されています。(研究論文:cs.utexas.edu/~shmat/shmat_ccs12.pdf
mk_

回答:


421

注:これを完全に信頼していないネットワークで使用する本番コードに実装しないでください。特に、公共のインターネットを介して行われるものすべて。

あなたの質問は私が知りたいことだけです。調べてみたところ、結論は以下のようになります。

HttpClientの方法では、org.apache.http.conn.ssl.SSLSocketFactory自体ではなく、org.apache.http.conn.ssl.SSLSocketFactoryからカスタムクラスを作成する必要があります。この投稿には、Android 2.2 FroYoでカスタムSSL処理が機能しなくなったという手掛かりがいくつかあります。

例は...

import java.io.IOException;
import java.net.Socket;
import java.net.UnknownHostException;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;

import org.apache.http.conn.ssl.SSLSocketFactory;
public class MySSLSocketFactory extends SSLSocketFactory {
    SSLContext sslContext = SSLContext.getInstance("TLS");

    public MySSLSocketFactory(KeyStore truststore) throws NoSuchAlgorithmException, KeyManagementException, KeyStoreException, UnrecoverableKeyException {
        super(truststore);

        TrustManager tm = new X509TrustManager() {
            public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            }

            public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            }

            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };

        sslContext.init(null, new TrustManager[] { tm }, null);
    }

    @Override
    public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException, UnknownHostException {
        return sslContext.getSocketFactory().createSocket(socket, host, port, autoClose);
    }

    @Override
    public Socket createSocket() throws IOException {
        return sslContext.getSocketFactory().createSocket();
    }
}

HttpClientのインスタンスを作成するときにこのクラスを使用します。

public HttpClient getNewHttpClient() {
    try {
        KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
        trustStore.load(null, null);

        MySSLSocketFactory sf = new MySSLSocketFactory(trustStore);
        sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

        HttpParams params = new BasicHttpParams();
        HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);
        HttpProtocolParams.setContentCharset(params, HTTP.UTF_8);

        SchemeRegistry registry = new SchemeRegistry();
        registry.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));
        registry.register(new Scheme("https", sf, 443));

        ClientConnectionManager ccm = new ThreadSafeClientConnManager(params, registry);

        return new DefaultHttpClient(ccm, params);
    } catch (Exception e) {
        return new DefaultHttpClient();
    }
}

ところで、以下のリンクはHttpURLConnectionソリューションを探している人のためのものです。 Https Connection Android

私はfroyoで上記の2種類のソリューションをテストしましたが、私の場合、それらはすべて魅力のように機能します。最後に、HttpURLConnectionを使用するとリダイレクトの問題が発生する可能性がありますが、これはトピックを超えています。

注:すべての証明書を信頼することを決定する前に、おそらくサイトが完全であることを十分に理解している必要があり、エンドユーザーに害を及ぼすことはありません。

実際、あなたが取るリスクは慎重に検討する必要があります。これには、私が深く感謝する以下のコメントで言及されているハッカーの模擬サイトの影響も含まれます。状況によっては、すべての証明書を処理するのは難しいかもしれませんが、すべての証明書を信頼することの暗黙の欠点を理解する方がよいでしょう。


150
この回答では、すべての証明書を信頼することは恐ろしく安全ではなく、SSLの目的全体が無効になることに注意する必要があります...
yanokwa

22
@sweeney-自分が思っているサーバーと通信しているとは限らないことを除いて。誰かがDNSサーバーを改ざんした場合は、ハッカーのサーバーと暗号化キーを通信している可能性があります。
Richard Szalay、2011年

12
@sweeney言い換えれば、今は中間者攻撃を受ける可能性があります。また、そのコードは仕様を満たしていません。Javadocを確認してください。getAcceptedIssuers()nullを返すことはできません。
ローンの侯爵

25
-1すべての証明書を受け入れるのはひどい考えだからです。悪いことをする道に沿ってJava開発者を幸せに導くブログやチュートリアルがたくさんあるのは残念です。
Tim Bender

57
+1デバッグ目的のみの迅速なソリューションが必要だったため。他の人が言及したセキュリティ上の懸念があるため、これを本番環境では使用しませんでしたが、これはまさにテストに必要なものでした。ありがとうございました!
Danation 2012年

495

基本的に、httpclientを使用してAndroidで「信頼されない」例外を修正するための4つの潜在的なソリューションがあります。

  1. すべての証明書を信頼します。自分が何をしているか本当に理解していない限り、これを行わないでください。
  2. 証明書のみを信頼するカスタムSSLSocketFactoryを作成します。これは、接続するサーバーが正確にわかっている限り機能しますが、別のSSL証明書を使用して新しいサーバーに接続する必要があるとすぐに、アプリを更新する必要があります。
  3. Androidの証明書の「マスターリスト」を含むキーストアファイルを作成し、独自のものを追加します。これらの証明書のいずれかが今後期限切れになる場合は、アプリでそれらを更新する責任があります。私はこれをする理由を考えることができません。
  4. 組み込みの証明書KeyStoreを使用するカスタムSSLSocketFactoryを作成しますが、デフォルトでの検証に失敗した場合は、代わりのKeyStoreにフォールバックします。

この回答は、ソリューション#4を使用しています。これは、私には最も堅牢であると思われます。

解決策は、複数のキーストアを受け入れることができるSSLSocketFactoryを使用することです。これにより、独自のキーストアを独自の証明書で提供できます。これにより、一部のAndroidデバイスでは欠落している可能性があるThawteなどの追加のトップレベル証明書をロードできます。また、独自の自己署名証明書をロードすることもできます。最初に組み込みのデフォルトのデバイス証明書を使用し、必要な場合にのみ追加の証明書を使用します。

最初に、キーストアで欠落している証明書を特定する必要があります。次のコマンドを実行します。

openssl s_client -connect www.yourserver.com:443

そして、次のような出力が表示されます。

Certificate chain
 0 s:/O=www.yourserver.com/OU=Go to 
   https://www.thawte.com/repository/index.html/OU=Thawte SSL123 
   certificate/OU=Domain Validated/CN=www.yourserver.com
   i:/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA
 1 s:/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA
   i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 
   2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA

ご覧のとおり、ルート証明書はThawteからのものです。プロバイダーのWebサイトにアクセスして、対応する証明書を見つけます。私たちにとって、それはここにありましたにありました。必要なのはCopyright 2006の1つであることがわかります。

自己署名証明書を使用している場合、すでに署名証明書を持っているので、前の手順を実行する必要はありませんでした。

次に、不足している署名証明書を含むキーストアファイルを作成します。Androidでこれを行う方法の詳細は Crazybobにありますでが、そのアイデアは次のようにすることです。

まだお持ちでない場合は、http://www.bouncycastle.org/latest_releases.htmlからバウンシーキャッスルプロバイダーライブラリをダウンロードしてください。。これは以下のクラスパスに移動します。

コマンドを実行してサーバーから証明書を抽出し、pemファイルを作成します。この場合、mycert.pem。

echo | openssl s_client -connect ${MY_SERVER}:443 2>&1 | \
 sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > mycert.pem

次に、以下のコマンドを実行してキーストアを作成します。

export CLASSPATH=/path/to/bouncycastle/bcprov-jdk15on-155.jar
CERTSTORE=res/raw/mystore.bks
if [ -a $CERTSTORE ]; then
    rm $CERTSTORE || exit 1
fi
keytool \
      -import \
      -v \
      -trustcacerts \
      -alias 0 \
      -file <(openssl x509 -in mycert.pem) \
      -keystore $CERTSTORE \
      -storetype BKS \
      -provider org.bouncycastle.jce.provider.BouncyCastleProvider \
      -providerpath /path/to/bouncycastle/bcprov-jdk15on-155.jar \
      -storepass some-password

上記のスクリプトが結果をに配置していることがわかりますres/raw/mystore.bks。これで、不足している証明書を提供するAndroidアプリにロードするファイルができました。

これを行うには、SSLSocketFactoryをSSLスキームに登録します。

final SchemeRegistry schemeRegistry = new SchemeRegistry();
schemeRegistry.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));
schemeRegistry.register(new Scheme("https", createAdditionalCertsSSLSocketFactory(), 443));

// and then however you create your connection manager, I use ThreadSafeClientConnManager
final HttpParams params = new BasicHttpParams();
...
final ThreadSafeClientConnManager cm = new ThreadSafeClientConnManager(params,schemeRegistry);

SSLSocketFactoryを作成するには:

protected org.apache.http.conn.ssl.SSLSocketFactory createAdditionalCertsSSLSocketFactory() {
    try {
        final KeyStore ks = KeyStore.getInstance("BKS");

        // the bks file we generated above
        final InputStream in = context.getResources().openRawResource( R.raw.mystore);  
        try {
            // don't forget to put the password used above in strings.xml/mystore_password
            ks.load(in, context.getString( R.string.mystore_password ).toCharArray());
        } finally {
            in.close();
        }

        return new AdditionalKeyStoresSSLSocketFactory(ks);

    } catch( Exception e ) {
        throw new RuntimeException(e);
    }
}

最後に、AdditionalKeyStoresSSLSocketFactoryコードは、新しいKeyStoreを受け入れ、組み込みのKeyStoreがSSL証明書の検証に失敗したかどうかを確認します。

/**
 * Allows you to trust certificates from additional KeyStores in addition to
 * the default KeyStore
 */
public class AdditionalKeyStoresSSLSocketFactory extends SSLSocketFactory {
    protected SSLContext sslContext = SSLContext.getInstance("TLS");

    public AdditionalKeyStoresSSLSocketFactory(KeyStore keyStore) throws NoSuchAlgorithmException, KeyManagementException, KeyStoreException, UnrecoverableKeyException {
        super(null, null, null, null, null, null);
        sslContext.init(null, new TrustManager[]{new AdditionalKeyStoresTrustManager(keyStore)}, null);
    }

    @Override
    public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException {
        return sslContext.getSocketFactory().createSocket(socket, host, port, autoClose);
    }

    @Override
    public Socket createSocket() throws IOException {
        return sslContext.getSocketFactory().createSocket();
    }



    /**
     * Based on http://download.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#X509TrustManager
     */
    public static class AdditionalKeyStoresTrustManager implements X509TrustManager {

        protected ArrayList<X509TrustManager> x509TrustManagers = new ArrayList<X509TrustManager>();


        protected AdditionalKeyStoresTrustManager(KeyStore... additionalkeyStores) {
            final ArrayList<TrustManagerFactory> factories = new ArrayList<TrustManagerFactory>();

            try {
                // The default Trustmanager with default keystore
                final TrustManagerFactory original = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
                original.init((KeyStore) null);
                factories.add(original);

                for( KeyStore keyStore : additionalkeyStores ) {
                    final TrustManagerFactory additionalCerts = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
                    additionalCerts.init(keyStore);
                    factories.add(additionalCerts);
                }

            } catch (Exception e) {
                throw new RuntimeException(e);
            }



            /*
             * Iterate over the returned trustmanagers, and hold on
             * to any that are X509TrustManagers
             */
            for (TrustManagerFactory tmf : factories)
                for( TrustManager tm : tmf.getTrustManagers() )
                    if (tm instanceof X509TrustManager)
                        x509TrustManagers.add( (X509TrustManager)tm );


            if( x509TrustManagers.size()==0 )
                throw new RuntimeException("Couldn't find any X509TrustManagers");

        }

        /*
         * Delegate to the default trust manager.
         */
        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            final X509TrustManager defaultX509TrustManager = x509TrustManagers.get(0);
            defaultX509TrustManager.checkClientTrusted(chain, authType);
        }

        /*
         * Loop over the trustmanagers until we find one that accepts our server
         */
        public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            for( X509TrustManager tm : x509TrustManagers ) {
                try {
                    tm.checkServerTrusted(chain,authType);
                    return;
                } catch( CertificateException e ) {
                    // ignore
                }
            }
            throw new CertificateException();
        }

        public X509Certificate[] getAcceptedIssuers() {
            final ArrayList<X509Certificate> list = new ArrayList<X509Certificate>();
            for( X509TrustManager tm : x509TrustManagers )
                list.addAll(Arrays.asList(tm.getAcceptedIssuers()));
            return list.toArray(new X509Certificate[list.size()]);
        }
    }

}

@emmbyさん、これは私の問題に対する完璧な答えのようですが、それでもSSL接続ができません。ご覧になれますか?http://stackoverflow.com/questions/7822381/need-help-understanding-certificate-chains
Matthias B

@emmbyの素晴らしい記事をありがとう!ときどき本当に長い遅延が発生し、次にjavax.net.ssl.SSLException:読み取りエラーが発生します。何か案が?ソリューションがstackoverflow.com/questions/5909308/android-2-3-4-ssl-problemと同じ場合、どのようにタイムアウトを設定できますか?
Edwin Evans、

3
@emmby、このコードをどこに配置すればよいかわかりますかエクスポートCLASSPATH = bcprov-jdk16-145.jar CERTSTORE = res / raw / mystore.bks if [-a $ CERTSTORE]; 次にrm $ CERTSTORE || exit 1 fi keytool \ -import \ -v \ -trustcacerts \ -alias 0 \ -file <(openssl x509 -in mycert.pem)\ -keystore $ CERTSTORE \ -storetype BKS \ -provider org.bouncycastle.jce.provider。 BouncyCastleProvider \ -providerpath /usr/share/java/bcprov.jar \ -storepass some-password
Rikki Tikki Tavi '11

1
@emmbyさん、こんにちは。私はアプリでソリューションを使用していて、サーバーの自己署名証明書を使用していますが、checkServerTrusted()メソッドでCertificateException()を取得しています。例外をスローするコメントを書いてみましたが、うまくいきました。サーバー証明書が検証されない場合は、別の方法で処理できます。この場合の最善の解決策を教えてください。
Ankit 2013

7
これは正解としてマークする必要があります。私がSOでこれまでに見た中で最も完全でよく書かれた答えの1つ。ドープ
カチ

74

このコードをの前に追加HttpsURLConnectionすると、完了します。わかった。

private void trustEveryone() { 
    try { 
            HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier(){ 
                    public boolean verify(String hostname, SSLSession session) { 
                            return true; 
                    }}); 
            SSLContext context = SSLContext.getInstance("TLS"); 
            context.init(null, new X509TrustManager[]{new X509TrustManager(){ 
                    public void checkClientTrusted(X509Certificate[] chain, 
                                    String authType) throws CertificateException {} 
                    public void checkServerTrusted(X509Certificate[] chain, 
                                    String authType) throws CertificateException {} 
                    public X509Certificate[] getAcceptedIssuers() { 
                            return new X509Certificate[0]; 
                    }}}, new SecureRandom()); 
            HttpsURLConnection.setDefaultSSLSocketFactory( 
                            context.getSocketFactory()); 
    } catch (Exception e) { // should never happen 
            e.printStackTrace(); 
    } 
} 

これがお役に立てば幸いです。


22
受け入れられた回答の下の上記の備考を参照してください。この「解決策」は根本的に安全ではありません。
ローンの侯爵2012年

5
これは理想的なQ&Dソリューションです。短く、「うまくいく」。
Steve Smith

5
テスト目的のための完全な答え!!! そして、はい、それを本番環境で使用するのは悪い考えですが、さあ...それは質問のタイトルを見ている誰にとっても明らかなはずです。それでも、同じ(イン)セキュリティレベルで、最善/最短/答えます!
Levite 2017

34

これは悪い考えです。証明書を信頼することは、SSLをまったく使用しないよりも(非常に)少しだけ優れています。「クライアントが任意の証明書を受け入れるようにしたいので(私は1つのサーバーしか指していないので)」と言った場合、これは、なんらかの方法で「1つのサーバー」を指しても安全であり、パブリックネットワーク上にないことを意味しています。

証明書を信頼することにより、中間者攻撃に対して完全にオープンになります。誰もがあなたとエンドサーバーとの個別のSSL接続を確立することにより、あなたの接続をプロキシできます。MITMはリクエストとレスポンス全体にアクセスできます。そもそもSSLが本当に必要ない場合(メッセージに機密情報が含まれておらず、認証も行われていない場合)を除き、すべての証明書を盲目的に信頼するべきではありません。

keytoolを使用して公開証明書をjksに追加し、それを使用して次のようにソケットファクトリを構築することを検討する必要があります。

    KeyStore ks = KeyStore.getInstance("JKS");

    // get user password and file input stream
    char[] password = ("mykspassword")).toCharArray();
    ClassLoader cl = this.getClass().getClassLoader();
    InputStream stream = cl.getResourceAsStream("myjks.jks");
    ks.load(stream, password);
    stream.close();

    SSLContext sc = SSLContext.getInstance("TLS");
    KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
    TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");

    kmf.init(ks, password);
    tmf.init(ks);

    sc.init(kmf.getKeyManagers(), tmf.getTrustManagers(),null);

    return sc.getSocketFactory();

これには注意が必要な注意点が1つあります。証明書は最終的に有効期限が切れ、コードはその時点で機能しなくなります。これがいつ発生するかは、証明書を見れば簡単に判断できます。


5
あなたは、クライアント側から、クライアント証明書認証を使用していない場合は、(使用のKeyManagerを必要としないnullSSLContext.init). You should also use the default algorithms (KMF/TMF.getDefaultAlgorithm() ), instead of hard-coding TMFのデフォルトは、実際にあるので、より多くのように(SunX509`をPKIX日/ OracleのJVM上で)。
ブルーノ・

ルート証明書ファイルを使用する準備ができていますか?(ブラウザのように)
dani herrera 2012

どこmyjks.jksから来たのですか?
zionpi

1
@zionpi Java「keytool」を使用して生成されました。
Dan

22

API 8以降、テストのためにHttpURLConnection SSLチェックを無効にすることができます。

    HttpURLConnection conn = (HttpURLConnection) url.openConnection();
    if (conn instanceof HttpsURLConnection) {
        HttpsURLConnection httpsConn = (HttpsURLConnection) conn;
        httpsConn.setSSLSocketFactory(SSLCertificateSocketFactory.getInsecure(0, null));
        httpsConn.setHostnameVerifier(new AllowAllHostnameVerifier());
    }

2
org.apache.http.conn.ssl.AllowAllHostnameVerifier廃止予定です。
zackygaurav 2015年

2
@zackygauravによるとjavadocツールAllowAllHostnameVerifierで置き換えられるNoopHostnameVerifier
DLightに

10

HttpComponentsのAPIが変更されました。以下のコードで動作します。

public static HttpClient getTestHttpClient() {
    try {
        SSLSocketFactory sf = new SSLSocketFactory(new TrustStrategy(){
            @Override
            public boolean isTrusted(X509Certificate[] chain,
                    String authType) throws CertificateException {
                return true;
            }
        }, new AllowAllHostnameVerifier());

        SchemeRegistry registry = new SchemeRegistry();
        registry.register(new Scheme("https",8444, sf));
        ClientConnectionManager ccm = new ThreadSafeClientConnManager(registry);
        return new DefaultHttpClient(ccm);
    } catch (Exception e) {
        e.printStackTrace();
        return new DefaultHttpClient();
    }
}

カスタムの信頼戦略を使用することが正しい答えです。ありがとう。
Matt Friedman

10

上記のhttps://stackoverflow.com/a/6378872/1553004のコードは正しいですが、ホスト名検証も呼び出す必要があります。

    @Override
public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException {
    SSLSocket sslSocket = (SSLSocket)sslContext.getSocketFactory().createSocket(socket, host, port, autoClose);
    getHostnameVerifier().verify(host, sslSocket);
    return sslSocket;
}

私はこの修正を追加するために明示的にstackoverflowにサインアップしました。私の警告に注意してください!


最初の接続でこの方法で証明書を確認したら、その後の接続で何をしますか?最初のつながりから得た知識を活用していますか?接続試行3で同じ名前の偽の証明書が使用された場合はどうなりますか?
jww 2014

6

私は、httpclient-4.5を使用する人のために応答を追加しています。おそらく4.4でも動作します。

import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import org.apache.http.HttpResponse;
import org.apache.http.client.HttpClient;
import org.apache.http.client.HttpResponseException;
import org.apache.http.client.fluent.ContentResponseHandler;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.conn.ssl.NoopHostnameVerifier;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.conn.ssl.TrustStrategy;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContextBuilder;



public class HttpClientUtils{

public static HttpClient getHttpClientWithoutSslValidation_UsingHttpClient_4_5_2() {
    try {
        SSLContextBuilder builder = new SSLContextBuilder();
        builder.loadTrustMaterial(null, new TrustStrategy() {
            @Override
            public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                return true;
            }
        });
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(builder.build(), new NoopHostnameVerifier());
        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslsf).build(); 
        return httpclient;
    } catch (Exception e) {
        throw new RuntimeException(e);
    }
}
}

新しいNoopH​​ostnameVerifier()クラスとは何ですか?
Mushtakim Ahmed Ansari 2017

1
@MushtakimAhmedAnsariドキュメントから:「NO_OP HostnameVerifierは基本的にホスト名の検証をオフにします。この実装は何もせず、SSLExceptionをスローしません。」
レイザーコスタン2017年

素晴らしい答えをありがとう。これはもっと多くの票を獲得するはずだ。
Abhay Dwivedi 2018

どうやって使うの?または、クラスを単に持つだけでSSL証明書の検証をオーバーライドすることを提案していますか?
2018年

はい。そのhttpClientを使用すると、https証明書が検証されません
raisercostin

4

すべての証明書を信頼することは私にとって実際の代替手段ではなかったので、HttpsURLConnectionが新しい証明書を信頼するようにするために次のことを行いました(http://nelenkov.blogspot.jp/2011/12/using-custom-certificate-trust-store-も参照してください)on.html)。

  1. 証明書を取得します。Firefoxで証明書をエクスポートして(小さな鍵のアイコンをクリックし、証明書の詳細を取得し、[エクスポート]をクリックして)、portecleを使用してトラストストア(BKS)をエクスポートしました。

  2. /res/raw/geotrust_cert.bksから次のコードを使用してトラストストアをロードします。

        final KeyStore trustStore = KeyStore.getInstance("BKS");
        final InputStream in = context.getResources().openRawResource(
                R.raw.geotrust_cert);
        trustStore.load(in, null);
    
        final TrustManagerFactory tmf = TrustManagerFactory
                .getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(trustStore);
    
        final SSLContext sslCtx = SSLContext.getInstance("TLS");
        sslCtx.init(null, tmf.getTrustManagers(),
                new java.security.SecureRandom());
    
        HttpsURLConnection.setDefaultSSLSocketFactory(sslCtx
                .getSocketFactory());

このエラーが発生します。IOExceptionjavax.net.ssl.SSLPeerUnverifiedException: No peer certificate。これは、上記の設定が完了した後にHttpClientで実際の実行呼び出しを行う場合です。
Michael

3

これは、4.1.2のhttpclientコードを使用した非常にシンプルなバージョンです。これは、適切と思われる任意の信頼アルゴリズムに変更できます。

public static HttpClient getTestHttpClient() {
    try {
        SSLSocketFactory sf = new SSLSocketFactory(new TrustStrategy(){
            @Override
            public boolean isTrusted(X509Certificate[] chain,
                    String authType) throws CertificateException {
                return true;
            }
        });
        SchemeRegistry registry = new SchemeRegistry();
        registry.register(new Scheme("https", 443, sf));
        ClientConnectionManager ccm = new ThreadSafeClientConnManager(registry);
        return new DefaultHttpClient(ccm);
    } catch (Exception e) {
        return new DefaultHttpClient();
    }
}

3

「emmby」からの応答を見て('11年6月16日21:29に回答)、項目#4:「組み込みの証明書KeyStoreを使用するカスタムSSLSocketFactoryを作成するが、失敗した場合は代替KeyStoreにフォールバックするデフォルトで確認します。」

これは簡略化された実装です。システムキーストアをロードし、アプリケーションキーストアとマージします。

public HttpClient getNewHttpClient() {
    try {
        InputStream in = null;
        // Load default system keystore
        KeyStore trusted = KeyStore.getInstance(KeyStore.getDefaultType()); 
        try {
            in = new BufferedInputStream(new FileInputStream(System.getProperty("javax.net.ssl.trustStore"))); // Normally: "/system/etc/security/cacerts.bks"
            trusted.load(in, null); // no password is "changeit"
        } finally {
            if (in != null) {
                in.close();
                in = null;
            }
        }

        // Load application keystore & merge with system
        try {
            KeyStore appTrusted = KeyStore.getInstance("BKS"); 
            in = context.getResources().openRawResource(R.raw.mykeystore);
            appTrusted.load(in, null); // no password is "changeit"
            for (Enumeration<String> e = appTrusted.aliases(); e.hasMoreElements();) {
                final String alias = e.nextElement();
                final KeyStore.Entry entry = appTrusted.getEntry(alias, null);
                trusted.setEntry(System.currentTimeMillis() + ":" + alias, entry, null);
            }
        } finally {
            if (in != null) {
                in.close();
                in = null;
            }
        }

        HttpParams params = new BasicHttpParams();
        HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);
        HttpProtocolParams.setContentCharset(params, HTTP.UTF_8);

        SSLSocketFactory sf = new SSLSocketFactory(trusted);
        sf.setHostnameVerifier(SSLSocketFactory.BROWSER_COMPATIBLE_HOSTNAME_VERIFIER);

        SchemeRegistry registry = new SchemeRegistry();
        registry.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));
        registry.register(new Scheme("https", sf, 443));

        ClientConnectionManager ccm = new ThreadSafeClientConnManager(params, registry);

        return new DefaultHttpClient(ccm, params);
    } catch (Exception e) {
        return new DefaultHttpClient();
    }
}

JKSからBKSに変換するシンプルなモード:

keytool -importkeystore -destkeystore cacerts.bks -deststoretype BKS -providerclass org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath bcprov-jdk16-141.jar -deststorepass changeit -srcstorepass changeit -srckeystore $JAVA_HOME/jre/lib/security/cacerts -srcstoretype JKS -noprompt

*注:Android 4.0(ICS)では、トラストストアが変更されました。詳細:http : //nelenkov.blogspot.com.es/2011/12/ics-trust-store-implementation.html


3

OAuthですべての証明書を(テスト目的で)機能させたい場合は、次の手順に従います。

1)Android OAuth APIのソースコードをここからダウンロードします。 https://github.com/kaeppler/signpostからます。

2)ファイル「CommonsHttpOAuthProvider」クラスを見つけます

3)以下のように変更します。

public class CommonsHttpOAuthProvider extends AbstractOAuthProvider {

private static final long serialVersionUID = 1L;

private transient HttpClient httpClient;

public CommonsHttpOAuthProvider(String requestTokenEndpointUrl, String accessTokenEndpointUrl,
        String authorizationWebsiteUrl) {
    super(requestTokenEndpointUrl, accessTokenEndpointUrl, authorizationWebsiteUrl);


    //this.httpClient = new DefaultHttpClient();//Version implemented and that throws the famous "javax.net.ssl.SSLException: Not trusted server certificate" if the certificate is not signed with a CA
    this.httpClient = MySSLSocketFactory.getNewHttpClient();//This will work with all certificates (for testing purposes only)
}

上記の「MySSLSocketFactory」は、受け入れられた回答に基づいています。さらに簡単にするために、ここに完全なクラスがあります:

package com.netcomps.oauth_example;

import java.io.IOException;
import java.net.Socket;
import java.net.UnknownHostException;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;

import org.apache.http.HttpVersion;
import org.apache.http.client.HttpClient;
import org.apache.http.conn.ClientConnectionManager;
import org.apache.http.conn.scheme.PlainSocketFactory;
import org.apache.http.conn.scheme.Scheme;
import org.apache.http.conn.scheme.SchemeRegistry;
import org.apache.http.conn.ssl.SSLSocketFactory;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.http.impl.conn.tsccm.ThreadSafeClientConnManager;
import org.apache.http.params.BasicHttpParams;
import org.apache.http.params.HttpParams;
import org.apache.http.params.HttpProtocolParams;
import org.apache.http.protocol.HTTP;

//http://stackoverflow.com/questions/2642777/trusting-all-certificates-using-httpclient-over-https
public class MySSLSocketFactory extends SSLSocketFactory {

    SSLContext sslContext = SSLContext.getInstance("TLS");

public MySSLSocketFactory(KeyStore truststore) throws NoSuchAlgorithmException, KeyManagementException, KeyStoreException, UnrecoverableKeyException {

    super(truststore);
    TrustManager tm = new X509TrustManager() {

        @Override
        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public X509Certificate[] getAcceptedIssuers() {
            return null;
        }
    };

    sslContext.init(null, new TrustManager[] { tm }, null);
}

@Override
public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException, UnknownHostException {
    return sslContext.getSocketFactory().createSocket(socket, host, port, autoClose);
}

@Override
public Socket createSocket() throws IOException {
    return sslContext.getSocketFactory().createSocket();
}



public static HttpClient getNewHttpClient() {

    try {
        KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
        trustStore.load(null, null);

        SSLSocketFactory sf = new MySSLSocketFactory(trustStore);
        sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

        HttpParams params = new BasicHttpParams();
        HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);
        HttpProtocolParams.setContentCharset(params, HTTP.UTF_8);

        SchemeRegistry registry = new SchemeRegistry();
        registry.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));
        registry.register(new Scheme("https", sf, 443));

        ClientConnectionManager ccm = new ThreadSafeClientConnManager(params, registry);

        return new DefaultHttpClient(ccm, params);

    } catch (Exception e) {
        return new DefaultHttpClient();
    }
}

}

これが誰かを助けることを願っています。


1
問題はHttpClientHTTPSでした。GitHubプロジェクトのAndroid用OAuthではありません。
jww 2014

3

私はこれを使用しましたが、すべてのOSで動作します。

/**
 * Disables the SSL certificate checking for new instances of {@link HttpsURLConnection} This has been created to
 * aid testing on a local box, not for use on production.
 */


private static void disableSSLCertificateChecking() {
    TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() {
        public X509Certificate[] getAcceptedIssuers() {
            return null;
        }

        @Override
        public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
            // Not implemented
        }

        @Override
        public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
            // Not implemented
        }
    } };

    try {
        SSLContext sc = SSLContext.getInstance("TLS");

        sc.init(null, trustAllCerts, new java.security.SecureRandom());

        HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
    } catch (KeyManagementException e) {
        e.printStackTrace();
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
    }
}

こんにちは@ yegor256、私はこのコードを使用していますが、SSLハンドシェイクの問題が引き続き発生します
user2028


0

すべてのボディは、まだアンドロイド2.1の訪問でStartCom SSL証明書と格闘https://www.startssl.com/certs/と、今、ca.pemをダウンロード答えが提供する@emmby置き換えます

`export CLASSPATH=bcprov-jdk16-145.jar
 CERTSTORE=res/raw/mystore.bks
      if [ -a $CERTSTORE ]; then
          rm $CERTSTORE || exit 1
      fi
 keytool \
  -import \
  -v \
  -trustcacerts \
  -alias 0 \
  -file <(openssl x509 -in mycert.pem) \
  -keystore $CERTSTORE \
  -storetype BKS \
  -provider org.bouncycastle.jce.provider.BouncyCastleProvider \
  -providerpath /usr/share/java/bcprov.jar \
  -storepass some-password`

 `export CLASSPATH=bcprov-jdk16-145.jar
 CERTSTORE=res/raw/mystore.bks
      if [ -a $CERTSTORE ]; then
          rm $CERTSTORE || exit 1
      fi
 keytool \
  -import \
  -v \
  -trustcacerts \
  -alias 0 \
  -file <(openssl x509 -in ca.pem) \
  -keystore $CERTSTORE \
  -storetype BKS \
  -provider org.bouncycastle.jce.provider.BouncyCastleProvider \
  -providerpath /usr/share/java/bcprov.jar \
  -storepass some-password`

箱から出して動作するはずです。@emmbyによる完全な回答の後でも、1日以上苦労していました。


0

このクラスを使う

public class WCFs
{
    //  https://192.168.30.8/myservice.svc?wsdl
private static final String NAMESPACE = "http://tempuri.org/";
private static final String URL = "192.168.30.8";
private static final String SERVICE = "/myservice.svc?wsdl";
private static String SOAP_ACTION = "http://tempuri.org/iWCFserviceMe/";


public static Thread myMethod(Runnable rp)
{
    String METHOD_NAME = "myMethod";

    SoapObject request = new SoapObject(NAMESPACE, METHOD_NAME);

    request.addProperty("Message", "Https WCF Running...");
    return _call(rp,METHOD_NAME, request);
}

protected static HandlerThread _call(final RunProcess rp,final String METHOD_NAME, SoapObject soapReq)
{
    final SoapSerializationEnvelope envelope = new SoapSerializationEnvelope(SoapEnvelope.VER11);
    int TimeOut = 5*1000;

    envelope.dotNet = true;
    envelope.bodyOut = soapReq;
    envelope.setOutputSoapObject(soapReq);

    final HttpsTransportSE httpTransport_net = new HttpsTransportSE(URL, 443, SERVICE, TimeOut);

    try
    {
        HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() // use this section if crt file is handmake
        {
            @Override
            public boolean verify(String hostname, SSLSession session)
            {
                return true;
            }
        });

        KeyStore k = getFromRaw(R.raw.key, "PKCS12", "password");
        ((HttpsServiceConnectionSE) httpTransport_net.getServiceConnection()).setSSLSocketFactory(getSSLSocketFactory(k, "SSL"));


    }
    catch(Exception e){}

    HandlerThread thread = new HandlerThread("wcfTd"+ Generator.getRandomNumber())
    {
        @Override
        public void run()
        {
            Handler h = new Handler(Looper.getMainLooper());
            Object response = null;

            for(int i=0; i<4; i++)
            {
                response = send(envelope, httpTransport_net , METHOD_NAME, null);

                try
                {if(Thread.currentThread().isInterrupted()) return;}catch(Exception e){}

                if(response != null)
                    break;

                ThreadHelper.threadSleep(250);
            }

            if(response != null)
            {
                if(rp != null)
                {
                    rp.setArguments(response.toString());
                    h.post(rp);
                }
            }
            else
            {
                if(Thread.currentThread().isInterrupted())
                    return;

                if(rp != null)
                {
                    rp.setExceptionState(true);
                    h.post(rp);
                }
            }

            ThreadHelper.stopThread(this);
        }
    };

    thread.start();

    return thread;
}


private static Object send(SoapSerializationEnvelope envelope, HttpTransportSE androidHttpTransport, String METHOD_NAME, List<HeaderProperty> headerList)
{
    try
    {
        if(headerList != null)
            androidHttpTransport.call(SOAP_ACTION + METHOD_NAME, envelope, headerList);
        else
            androidHttpTransport.call(SOAP_ACTION + METHOD_NAME, envelope);

        Object res = envelope.getResponse();

        if(res instanceof SoapPrimitive)
            return (SoapPrimitive) envelope.getResponse();
        else if(res instanceof SoapObject)
            return ((SoapObject) envelope.getResponse());
    }
    catch(Exception e)
    {}

    return null;
}

public static KeyStore getFromRaw(@RawRes int id, String algorithm, String filePassword)
{
    try
    {
        InputStream inputStream = ResourceMaster.openRaw(id);
        KeyStore keystore = KeyStore.getInstance(algorithm);
        keystore.load(inputStream, filePassword.toCharArray());
        inputStream.close();

        return keystore;
    }
    catch(Exception e)
    {}

    return null;
}

public static SSLSocketFactory getSSLSocketFactory(KeyStore trustKey, String SSLAlgorithm)
{
    try
    {
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(trustKey);

        SSLContext context = SSLContext.getInstance(SSLAlgorithm);//"SSL" "TLS"
        context.init(null, tmf.getTrustManagers(), null);

        return context.getSocketFactory();
    }
    catch(Exception e){}

    return null;
}

}


0

ここに画像の説明を入力してください

xamarin androidでsspiが失敗しました。

私はこの解決策を見つけました。HTTPSリンクにアクセスする前にこのコードを配置します

const SslProtocols _Tls12 = (SslProtocols)0x00000C00;
const SecurityProtocolType Tls12 = (SecurityProtocolType)_Tls12;
ServicePointManager.SecurityProtocol = Tls12;

-3

すべてのhttpsで作業する

httpClient = new DefaultHttpClient();

SSLContext ctx = SSLContext.getInstance("TLS");
X509TrustManager tm = new X509TrustManager() {
    public void checkClientTrusted(X509Certificate[] xcs, String string) throws CertificateException { }

    public void checkServerTrusted(X509Certificate[] xcs, String string) throws CertificateException { }

    public X509Certificate[] getAcceptedIssuers() {
        return null;
    }
};

ctx.init(null, new TrustManager[]{tm}, null);
SSLSocketFactory ssf = new SSLSocketFactory(ctx, SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

httpClient.getConnectionManager().getSchemeRegistry().register(new Scheme("https", 443, ssf));

2
このスレッドで既に議論され、却下された同じ誤った安全でない非解決策を繰り返すだけです。
ローンの侯爵2013

-3

上記には多くの答えがありますが、(限られた時間で)それらを正しく機能させることができなかったので、同じ状況で他の誰でも、私のJavaテスト目的に完全に機能する以下のコードを試すことができます。

    public static HttpClient wrapClient(HttpClient base) {
    try {
        SSLContext ctx = SSLContext.getInstance("TLS");
        X509TrustManager tm = new X509TrustManager() {
            public void checkClientTrusted(X509Certificate[] xcs, String string) throws CertificateException { }

            public void checkServerTrusted(X509Certificate[] xcs, String string) throws CertificateException { }

            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };
        ctx.init(null, new TrustManager[]{tm}, null);
        SSLSocketFactory ssf = new SSLSocketFactory(ctx);
        ssf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
        ClientConnectionManager ccm = base.getConnectionManager();
        SchemeRegistry sr = ccm.getSchemeRegistry();
        sr.register(new Scheme("https", ssf, 443));
        return new DefaultHttpClient(ccm, base.getParams());
    } catch (Exception ex) {
        return null;
    }
}

次のように呼び出します:

DefaultHttpClient baseClient = new DefaultHttpClient();
HttpClient httpClient = wrapClient(baseClient );

リファレンス:http : //tech.chitgoks.com/2011/04/24/how-to-avoid-javax-net-ssl-sslpeerunverifiedexception-peer-not-authenticated-problem-using-apache-httpclient/


EJPを引用するには:「このスレッドで既に議論され、却下された同じ誤った安全でない非解決策を繰り返すだけです。
jww 2014

-4

単にこれを使用してください-

public DefaultHttpClient wrapClient(HttpClient base) {
    try {
        SSLContext ctx = SSLContext.getInstance("TLS");
        X509TrustManager tm = new X509TrustManager() {
        public void checkClientTrusted(X509Certificate[] xcs, String string) throws CertificateException { }

        public void checkServerTrusted(X509Certificate[] xcs, String string) throws CertificateException { }

        public X509Certificate[] getAcceptedIssuers() {
            return null;
        }
    };
    ctx.init(null, new TrustManager[]{tm}, null);
    SSLSocketFactory ssf = new SSLSocketFactory(ctx);
    ssf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
    ClientConnectionManager ccm = base.getConnectionManager();
    SchemeRegistry sr = ccm.getSchemeRegistry();
    sr.register(new Scheme("https", ssf, 443));
    return new DefaultHttpClient(ccm, base.getParams());
} catch (Exception ex) {
    return null;
}
}

EJPを引用するには:「このスレッドで既に議論され、却下された、同じ誤った安全でない非解決策を繰り返すだけです。
jww 14

-5

ダニエルの答えは、私がこのコードを変更しなければならなかった以外は良かった...

    SchemeRegistry registry = new SchemeRegistry();
    registry.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));
    registry.register(new Scheme("https", sf, 443));

    ClientConnectionManager ccm = new ThreadSafeClientConnManager(params, registry);

このコードに...

    ClientConnectionManager ccm = new ThreadSafeClientConnManager(params, registry);
    SchemeRegistry registry = ccm.getShemeRegistry()
    registry.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));
    registry.register(new Scheme("https", sf, 443));

それを機能させるために。


5
それはどのように機能しますか?作成する前にレジストリを参照します!
マティアスB
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.