godaddy 256bit SSL 인증서를 실행하는 IIS6 상자에 연결하려고하는데 오류가 발생합니다.
java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.그 원인이 무엇인지 확인하려고했지만 지금 공백을 그립니다.
내가 연결하는 방법은 다음과 같습니다.
HttpsURLConnection conn;
conn = (HttpsURLConnection) (new URL(mURL)).openConnection();
conn.setConnectTimeout(20000);
conn.setDoInput(true);
conn.setDoOutput(true);
conn.connect();
String tempString = toString(conn.getInputStream()); 답변:
@Chrispix의 솔루션은 위험합니다! 모든 인증서를 신뢰하면 누구나 중간 공격에서 사람을 할 수 있습니다! 모든 인증서를 고객에게 보내면 수락합니다!
이 게시물에 설명 된대로 인증서를 사용자 정의 신뢰 관리자에 추가하십시오. HTTPS를 통해 HttpClient를 사용하여 모든 인증서 신뢰
사용자 지정 인증서로 보안 연결을 설정하는 것이 조금 더 복잡하지만 중간 공격으로 인한 위험없이 원하는 SSL 암호화 보안을 제공합니다!
허용되는 답변과 달리 사용자 정의 트러스트 관리자가 필요 하지 않으므로 서버 구성을 수정해야합니다!
dynadot / alphassl 인증서가 잘못 설치된 Apache 서버에 연결하는 동안 동일한 문제가 발생했습니다. HttpsUrlConnection (Java / Android)을 사용하여 연결하고 있습니다.
javax.net.ssl.SSLHandshakeException:
java.security.cert.CertPathValidatorException:
Trust anchor for certification path not found.실제 문제는 서버 구성 오류입니다. http://www.digicert.com/help/ 또는 이와 유사한 방법으로 테스트 하면 솔루션에 대한 정보도 제공됩니다.
"인증서에 신뢰할 수있는 기관이 서명하지 않았습니다 (Mozilla의 루트 저장소 확인). 신뢰할 수있는 기관에서 인증서를 구입 한 경우 하나 이상의 중간 인증서를 설치해야합니다 . 인증서 공급자에게 문의하십시오. 서버 플랫폼. "
openssl을 사용하여 인증서를 확인할 수도 있습니다.
openssl s_client -debug -connect www.thedomaintocheck.com:443
당신은 아마 볼 것입니다 :
Verify return code: 21 (unable to verify the first certificate)
그리고 출력의 초기에 :
depth=0 OU = Domain Control Validated, CN = www.thedomaintocheck.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 OU = Domain Control Validated, CN = www.thedomaintocheck.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 OU = Domain Control Validated, CN = www.thedomaintocheck.com
verify error:num=21:unable to verify the first certificate`인증서 체인에는 하나의 요소 (인증서) 만 포함됩니다.
Certificate chain
0 s:/OU=Domain Control Validated/CN=www.thedomaintocheck.com
i:/O=AlphaSSL/CN=AlphaSSL CA - G2...하지만 체인에서 서명 기관을 참조해야합니다 (Verisign, GlobalSign 등).
Certificate chain
0 s:/OU=Domain Control Validated/CN=www.thedomaintocheck.com
i:/O=AlphaSSL/CN=AlphaSSL CA - G2
1 s:/O=AlphaSSL/CN=AlphaSSL CA - G2
i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
2 s:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA서버 구성에 대한 지시 사항 (및 중간 인증서)은 일반적으로 인증서를 발행 한 기관에서 제공합니다 (예 : http://www.alphassl.com/support/install-root-certificate.html).
인증서 발급자가 제공 한 중간 인증서를 설치 한 후 HttpsUrlConnection을 사용하여 연결할 때 오류가 없습니다.
런타임시 특정 인증서를 신뢰할 수 있습니다. ssl-utils-android를
사용하여 서버에서 다운로드하고 자산을 넣고 다음과 같이로드하십시오 .
OkHttpClient client = new OkHttpClient();
SSLContext sslContext = SslUtils.getSslContextForCertificateFile(context, "BPClass2RootCA-sha2.cer");
client.setSslSocketFactory(sslContext.getSocketFactory());위의 예에서는 Java를 사용 OkHttpClient했지만 SSLContext모든 클라이언트에서 Java를 사용할 수 있습니다.
질문이 있으시면 언제든지 문의하십시오. 저는이 작은 도서관의 저자입니다.
최신 Android 설명서 (2017 년 3 월)를 기반으로 업데이트 :
이 유형의 오류가 발생하면 :
javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:374)
at libcore.net.http.HttpConnection.setupSecureSocket(HttpConnection.java:209)
at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.makeSslConnection(HttpsURLConnectionImpl.java:478)
at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.connect(HttpsURLConnectionImpl.java:433)
at libcore.net.http.HttpEngine.sendSocketRequest(HttpEngine.java:290)
at libcore.net.http.HttpEngine.sendRequest(HttpEngine.java:240)
at libcore.net.http.HttpURLConnectionImpl.getResponse(HttpURLConnectionImpl.java:282)
at libcore.net.http.HttpURLConnectionImpl.getInputStream(HttpURLConnectionImpl.java:177)
at libcore.net.http.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:271)이 문제는 다음 중 하나 일 수 있습니다.
해결책은 HttpsURLConnection특정 CA 세트를 신뢰 하도록 가르치는 것입니다. 어떻게? https://developer.android.com/training/articles/security-ssl.html#CommonProblems를 확인 하십시오
사용하는 기타 AsyncHTTPClient에서 com.loopj.android:android-async-http라이브러리를 확인하시기 바랍니다 HTTPS를 사용하도록 설정 AsyncHttpClient을 .
개조를 사용하는 경우 OkHttpClient를 사용자 정의해야합니다.
retrofit = new Retrofit.Builder() .baseUrl(ApplicationData.FINAL_URL) .client(getUnsafeOkHttpClient().build()) .addConverterFactory(GsonConverterFactory.create()) .build();전체 코드는 다음과 같습니다.
public class RestAdapter {
private static Retrofit retrofit = null;
private static ApiInterface apiInterface;
public static OkHttpClient.Builder getUnsafeOkHttpClient() {
try {
// Create a trust manager that does not validate certificate chains
final TrustManager[] trustAllCerts = new TrustManager[]{
new X509TrustManager() {
@Override
public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
}
@Override
public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
}
@Override
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return new java.security.cert.X509Certificate[]{};
}
}
};
// Install the all-trusting trust manager
final SSLContext sslContext = SSLContext.getInstance("SSL");
sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
// Create an ssl socket factory with our all-trusting manager
final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
OkHttpClient.Builder builder = new OkHttpClient.Builder();
builder.sslSocketFactory(sslSocketFactory, (X509TrustManager) trustAllCerts[0]);
builder.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
return true;
}
});
return builder;
} catch (Exception e) {
throw new RuntimeException(e);
}
}
public static ApiInterface getApiClient() {
if (apiInterface == null) {
try {
retrofit = new Retrofit.Builder()
.baseUrl(ApplicationData.FINAL_URL)
.client(getUnsafeOkHttpClient().build())
.addConverterFactory(GsonConverterFactory.create())
.build();
} catch (Exception e) {
e.printStackTrace();
}
apiInterface = retrofit.create(ApiInterface.class);
}
return apiInterface;
}
}getUnsafeOkHttpClient()Kotlin 에서 메소드 를 다시 작성하십시오 : stackoverflow.com/a/60507560/2914140 .
아주 오래된 게시물에 답장을 보냅니다. 그러나 어쩌면 그것은 초보자에게 도움이 될 것입니다.
설명 : 아무도 설명 쓰레기를 원하지 않는다는 것을 안다. 오히려 해결책. 그러나 하나의 라이너에서 로컬 컴퓨터에서 컴퓨터를 신뢰하지 않는 원격 컴퓨터로 서비스에 액세스하려고합니다. 원격 서버로부터 신뢰를 얻어야합니다.
솔루션 : 다음 솔루션은 다음 조건이 충족되었다고 가정합니다.
단계 :
앱을 등록하려면 .keystore 확장 파일이 필요합니다. .keystore 파일을 만드는 방법을 모른다면; 다음 섹션 .keystore 파일 만들기 를 따르 거나 다음 섹션으로 건너 뛰십시오 .Apk 파일 서명
.keystore 파일 작성
Android Studio를 엽니 다. 최상위 메뉴 빌드> 서명 된 APK 생성을 클릭하십시오. 다음 창에서 새로 작성 ... 단추를 클릭하십시오 . 새 창에서 모든 필드에 데이터를 입력하십시오. 내가 추천하는 두 개의 Password 필드는 동일한 암호를 가져야합니다. 다른 비밀번호를 사용하지 마십시오. 또한 최상위 필드 키 저장 경로 의 저장 경로를 기억하십시오 . 모든 필드를 입력 한 후 확인 버튼을 클릭하십시오.
APK 파일 서명
이제 방금 만든 .keystore 파일로 서명 된 앱을 빌드해야합니다. 다음과 같이하세요
Choose existing...버튼Key store password및 Key password필드에 동일한 비밀번호를 사용하십시오 . 또한 별칭을 입력하십시오build.gradle파일 설정에 따라 다를 수 있습니다 . Build Types및 을 선택해야합니다 Flavors.Build Types선택하십시오release를 들어 Flavors, 그러나 그것은 것입니다 것은에서 설정에 따라 build.gradle파일. staging이 필드에서 선택하십시오 . 에서 다음 설정을 사용했는데 build.gradle내 것과 동일하게 사용할 수 있지만 applicationId패키지 이름으로 변경하십시오.
productFlavors {
staging {
applicationId "com.yourapplication.package"
manifestPlaceholders = [icon: "@drawable/ic_launcher"]
buildConfigField "boolean", "CATALYST_DEBUG", "true"
buildConfigField "boolean", "ALLOW_INVALID_CERTIFICATE", "true"
}
production {
buildConfigField "boolean", "CATALYST_DEBUG", "false"
buildConfigField "boolean", "ALLOW_INVALID_CERTIFICATE", "false"
}
}하단의 두 Signature Versions확인란을 클릭하고 Finish버튼을 클릭하십시오 .
거의 다 왔어:
모든 노력, 이제 진실의 움직임이 이루어집니다. 프록시로 백업 된 스테이징 서버에 액세스하려면 실제 테스트 Android 디바이스에서 일부 설정을 지정해야합니다.
Android 기기의 프록시 설정 :
Modify networkAdvanced options가 보이지 않으면를 클릭하십시오Proxy HostnameProxy Hostname호스트 IP를 입력하거나 이름을 당신은 연결하려는. 일반적인 준비 서버의 이름은 다음과 같습니다.stg.api.mygoodcompany.com9502Save버튼을마지막 중지 :
우리가 서명 된 APK 파일을 생성 기억 서명 APK 파일 섹션을 참조하십시오. 이제 해당 APK 파일을 설치해야합니다.
adb install name of the apk fileadb command not found. 전체 경로를 다음과 같이 입력하십시오C:\Users\shah\AppData\Local\Android\sdk\platform-tools\adb.exe install name of the apk file문제가 해결되기를 바랍니다. 그렇지 않은 경우 의견을 남겨주세요.
살람!
https://www.ssllabs.com/ssltest/ 를 사용 하여 도메인을 테스트 하십시오 .
Kotlin 의 Shihab Uddin 솔루션 .
import java.security.SecureRandom
import java.security.cert.X509Certificate
import javax.net.ssl.*
import javax.security.cert.CertificateException
companion object {
private val gson: Gson
private val retrofit: Retrofit
init {
val okHttpClient = getUnsafeOkHttpClient() // OkHttpClient().newBuilder()
.build()
gson = GsonBuilder().setLenient().create()
retrofit = Retrofit.Builder()
.baseUrl(BASE_URL)
.client(okHttpClient)
.addConverterFactory(GsonConverterFactory.create(gson))
.build()
}
private fun getUnsafeOkHttpClient(): OkHttpClient.Builder =
try {
// Create a trust manager that does not validate certificate chains
val trustAllCerts: Array<TrustManager> = arrayOf(
object : X509TrustManager {
@Throws(CertificateException::class)
override fun checkClientTrusted(chain: Array<X509Certificate?>?,
authType: String?) = Unit
@Throws(CertificateException::class)
override fun checkServerTrusted(chain: Array<X509Certificate?>?,
authType: String?) = Unit
override fun getAcceptedIssuers(): Array<X509Certificate> = arrayOf()
}
)
// Install the all-trusting trust manager
val sslContext: SSLContext = SSLContext.getInstance("SSL")
sslContext.init(null, trustAllCerts, SecureRandom())
// Create an ssl socket factory with our all-trusting manager
val sslSocketFactory: SSLSocketFactory = sslContext.socketFactory
val builder = OkHttpClient.Builder()
builder.sslSocketFactory(sslSocketFactory,
trustAllCerts[0] as X509TrustManager)
builder.hostnameVerifier { _, _ -> true }
builder
} catch (e: Exception) {
throw RuntimeException(e)
}
}내가 찾은 것과 같은 문제가 있었는데 내가 제공 한 인증서 .crt 파일에 중간 인증서가 누락되었다는 것이 었습니다. 그래서 서버 관리자에게 모든 .crt 파일을 요청한 다음 역순으로 연결했습니다.
전의. 1. Root.crt 2. Inter.crt 3. myCrt.crt
Windows에서 복사 Inter.crt + Root.crt를 실행했습니다 .newCertificate.crt
(여기서 myCrt.crt를 무시했습니다)
그런 다음 입력 스트림을 통해 newCertificate.crt 파일을 코드로 제공했습니다. 업무 완료.
진저 브레드 폰에서는 Trust Anchor not found for Android SSL Connection인증서에 의존하도록 설정하더라도 항상 다음 과 같은 오류가 발생 합니다.
다음은 내가 사용하는 코드입니다 (스칼라 언어).
object Security {
private def createCtxSsl(ctx: Context) = {
val cer = {
val is = ctx.getAssets.open("mycertificate.crt")
try
CertificateFactory.getInstance("X.509").generateCertificate(is)
finally
is.close()
}
val key = KeyStore.getInstance(KeyStore.getDefaultType)
key.load(null, null)
key.setCertificateEntry("ca", cer)
val tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm)
tmf.init(key)
val c = SSLContext.getInstance("TLS")
c.init(null, tmf.getTrustManagers, null)
c
}
def prepare(url: HttpURLConnection)(implicit ctx: Context) {
url match {
case https: HttpsURLConnection ⇒
val cSsl = ctxSsl match {
case None ⇒
val res = createCtxSsl(ctx)
ctxSsl = Some(res)
res
case Some(c) ⇒ c
}
https.setSSLSocketFactory(cSsl.getSocketFactory)
case _ ⇒
}
}
def noSecurity(url: HttpURLConnection) {
url match {
case https: HttpsURLConnection ⇒
https.setHostnameVerifier(new HostnameVerifier {
override def verify(hostname: String, session: SSLSession) = true
})
case _ ⇒
}
}
}연결 코드는 다음과 같습니다.
def connect(securize: HttpURLConnection ⇒ Unit) {
val conn = url.openConnection().asInstanceOf[HttpURLConnection]
securize(conn)
conn.connect();
....
}
try {
connect(Security.prepare)
} catch {
case ex: SSLHandshakeException /*if ex.getMessage != null && ex.getMessage.contains("Trust anchor for certification path not found")*/ ⇒
connect(Security.noSecurity)
}기본적으로 사용자 지정 인증서를 신뢰하도록 설정했습니다. 이것이 실패하면 보안을 비활성화합니다. 이것은 최선의 선택은 아니지만, 오래되고 버그가 많은 전화로 아는 유일한 선택입니다.
이 샘플 코드는 Java로 쉽게 번역 될 수 있습니다.
모든 인증서를 신뢰할 필요는 없지만 내 경우에는 자체 서명 된 인증서가있는 더러운 디버깅 환경에 문제가 있었고 더러운 솔루션이 필요했습니다.
내가해야 할 일은 초기화를 변경하는 것이 었습니다. sslContext
mySSLContext.init(null, trustAllCerts, null); 다음 trustAllCerts과 같이 만들어진 곳 :
private final TrustManager[] trustAllCerts= new TrustManager[] { new X509TrustManager() {
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return new java.security.cert.X509Certificate[]{};
}
public void checkClientTrusted(X509Certificate[] chain,
String authType) throws CertificateException {
}
public void checkServerTrusted(X509Certificate[] chain,
String authType) throws CertificateException {
}
} };이것이 유용하게되기를 바랍니다.
Hostname '192.168.0.16' was not verified. 로컬 디버거 (IIS Express)를 통해 webapi를 테스트하고 있습니다. 이 문제를 해결하는 방법에 대한 아이디어가 있습니까? 감사합니다 :)
나는 비슷한 문제를 겪었고 모든 출처를 신뢰하는 전략을 완전히 배제했습니다.
Kotlin으로 구현 된 응용 프로그램에 적용된 솔루션을 여기에서 공유합니다.
먼저 다음 웹 사이트 를 사용하여 인증서 및 유효성에 대한 정보를 얻는 것이 좋습니다.
Android 기본 신뢰 저장소 에서 '허용 된 발급자' 로 표시되지 않는 경우 해당 인증서를 가져 와서 애플리케이션에 통합하여 사용자 정의 신뢰 저장소를 작성해야합니다.
필자의 경우 이상적인 솔루션 은 사용자 정의와 Android 기본 신뢰 저장소를 결합한 고급 신뢰 관리자 를 작성하는 것이 었습니다.
여기서는 Retrofit과 함께 사용한 OkHttpClient를 구성하는 데 사용되는 고급 코드를 공개합니다.
override fun onBuildHttpClient(httpClientBuild: OkHttpClient.Builder) {
val trustManagerWrapper = createX509TrustManagerWrapper(
arrayOf(
getCustomX509TrustManager(),
getDefaultX509TrustManager()
)
)
printX509TrustManagerAcceptedIssuers(trustManagerWrapper)
val sslSocketFactory = createSocketFactory(trustManagerWrapper)
httpClientBuild.sslSocketFactory(sslSocketFactory, trustManagerWrapper)
}이런 식으로 자체 서명 된 인증서로 서버와 통신하고 신뢰할 수있는 인증 기관에서 발급 한 인증서로 다른 서버와 통신 할 수 있습니다.
이것이 누군가를 도울 수 있기를 바랍니다.
나는 이것이 매우 오래된 기사라는 것을 알고 있지만 신뢰 앵커 문제를 해결하려고 할 때이 기사를 보았습니다. 어떻게 수정했는지 게시했습니다. 루트 CA를 사전 설치 한 경우 매니페스트에 구성을 추가해야합니다.
**Set proper alias name**
CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509","BC");
X509Certificate cert = (X509Certificate) certificateFactory.generateCertificate(derInputStream);
String alias = cert.getSubjectX500Principal().getName();
KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
trustStore.load(null);
trustStore.setCertificateEntry(alias, cert);나는 또한 같은 문제에 직면했다. http와 같은 hhtps를 제거합니다.
final public static String ROOT_URL = "https://example.com";
에 final public static String ROOT_URL = "http://example.com";
마지막으로이 문제를 해결했습니다.