Bagaimana cara menginstal sertifikat CA tepercaya di perangkat Android?

Saya telah membuat sertifikat CA sendiri dan sekarang saya ingin menginstalnya di perangkat Android Froyo saya (HTC Desire Z), sehingga perangkat mempercayai sertifikat saya.

Android menyimpan sertifikat CA di keystore Java di /system/etc/security/cacerts.bks. Saya menyalin file ke komputer saya, menambahkan sertifikat saya menggunakan portecle 1.5 dan mendorongnya kembali ke perangkat.

Sekarang, Android sepertinya tidak memuat ulang file secara otomatis. Saya telah membaca di beberapa posting blog bahwa saya perlu me-restart perangkat. Melakukan hal itu mengakibatkan file ditimpa dengan yang asli lagi.

Percobaan saya berikutnya adalah menginstal sertifikat dari kartu SD dengan menyalinnya dan menggunakan opsi yang sesuai dari menu pengaturan. Perangkat memberi tahu saya bahwa sertifikat telah diinstal, tetapi ternyata tidak mempercayai sertifikat. Terlebih lagi, ketika saya mencoba menyalin keystore ke komputer saya, saya masih menemukan stok aslinya cacerts.bks.

Jadi, apa cara yang tepat untuk menginstal sertifikat CA root saya sendiri di perangkat Android 2.2 sebagai sertifikat tepercaya? Apakah ada cara untuk melakukannya secara terprogram?

Sebelum Android KitKat, Anda harus melakukan root pada perangkat Anda untuk menginstal sertifikat baru.

Dari Android KitKat (4.0) hingga Nougat (7.0) itu mungkin dan mudah. Saya dapat menginstal sertifikat Proxy Charles Web Debbuging pada perangkat yang belum di-root dan berhasil mengendus lalu lintas SSL.

Ekstrak dari http://wiki.cacert.org/FAQ/ImportRootCert

Sebelum Android versi 4.0, dengan versi Android Gingerbread & Froyo, ada satu file read-only (/system/etc/security/cacerts.bks) yang berisi toko kepercayaan dengan semua sertifikat CA ('sistem') yang dipercaya secara default di Android. Baik aplikasi sistem dan semua aplikasi yang dikembangkan dengan Android SDK menggunakan ini. Gunakan petunjuk ini untuk menginstal sertifikat CAcert pada Android Gingerbread, Froyo, ...

Mulai dari Android 4.0 (Android ICS / 'Ice Cream Sandwich', Android 4.3 'Jelly Bean' & Android 4.4 'KitKat'), sertifikat tepercaya sistem ada di partisi sistem (baca-saja) di folder '/ system / etc / keamanan / 'sebagai file individual. Namun, pengguna sekarang dapat dengan mudah menambahkan sertifikat 'pengguna' mereka sendiri yang akan disimpan di '/ data / misc / gantungan kunci / tambah sertifikat'.

Sertifikat yang diinstal sistem dapat dikelola pada perangkat Android di bagian Pengaturan -> Keamanan -> Sertifikat -> 'Sistem', sedangkan sertifikat tepercaya pengguna dibuat di bagian 'Pengguna' di sana. Saat menggunakan sertifikat tepercaya pengguna, Android akan memaksa pengguna perangkat Android untuk menerapkan langkah-langkah keamanan tambahan: penggunaan kode PIN, kunci pola atau kata sandi untuk membuka kunci perangkat adalah wajib ketika sertifikat yang disediakan pengguna digunakan.

Memasang sertifikat CAcert sebagai sertifikat 'tepercaya pengguna' sangat mudah. Menginstal sertifikat baru sebagai sertifikat 'tepercaya sistem' memerlukan lebih banyak pekerjaan (dan memerlukan akses root), tetapi memiliki keuntungan untuk menghindari persyaratan layar kunci Android.

Dari Android N dan seterusnya semakin sedikit, lihat kutipan ini dari situs web proxy Charles :

Pada Android N, Anda perlu menambahkan konfigurasi ke aplikasi Anda agar mempercayai sertifikat SSL yang dihasilkan oleh Charles SSL Proxying. Ini berarti bahwa Anda hanya dapat menggunakan SSL Proxying dengan aplikasi yang Anda kontrol.

Untuk mengkonfigurasi aplikasi Anda agar mempercayai Charles, Anda perlu menambahkan File Konfigurasi Keamanan Jaringan ke aplikasi Anda. File ini dapat menimpa default sistem, memungkinkan aplikasi Anda untuk mempercayai sertifikat CA yang diinstal pengguna (mis. Sertifikat Charles Root). Anda dapat menentukan bahwa ini hanya berlaku di debug membangun aplikasi Anda, sehingga membangun produksi menggunakan profil kepercayaan default.

Tambahkan file res / xml / network_security_config.xml ke aplikasi Anda:

<network-security-config>    
    <debug-overrides> 
        <trust-anchors> 
            <!-- Trust user added CAs while debuggable only -->
            <certificates src="user" /> 
        </trust-anchors>    
    </debug-overrides>  
</network-security-config>

Kemudian tambahkan referensi ke file ini dalam manifes aplikasi Anda, sebagai berikut:

<?xml version="1.0" encoding="utf-8"?> 
<manifest>
    <application android:networkSecurityConfig="@xml/network_security_config">
    </application> 
</manifest>

Saya menghabiskan banyak waktu untuk mencari jawaban atas hal ini (saya perlu Android untuk melihat sertifikat StartSSL). Kesimpulan: Android 2.1 dan 2.2 memungkinkan Anda mengimpor sertifikat, tetapi hanya untuk digunakan dengan WiFi dan VPN. Tidak ada antarmuka pengguna untuk memperbarui daftar sertifikat root tepercaya, tetapi ada diskusi tentang menambahkan fitur itu. Tidak jelas apakah ada solusi yang dapat diandalkan untuk memperbarui dan mengganti file cacerts.bks secara manual.

Detail dan tautan: http://www.mcbsys.com/techblog/2010/12/android-certificates/ . Di pos itu, lihat tautan ke bug Android 11231 - Anda mungkin ingin menambahkan suara dan permintaan ke bug itu.

Jika Anda memerlukan sertifikat untuk koneksi HTTPS, Anda dapat menambahkan file .bks sebagai sumber daya mentah ke aplikasi Anda dan memperluas DefaultHttpConnection sehingga sertifikat Anda digunakan untuk koneksi HTTPS.

public class MyHttpClient extends DefaultHttpClient {

    private Resources _resources;

    public MyHttpClient(Resources resources) {
        _resources = resources;
    }

    @Override
    protected ClientConnectionManager createClientConnectionManager() {
        SchemeRegistry registry = new SchemeRegistry();
        registry.register(new Scheme("http", PlainSocketFactory
            .getSocketFactory(), 80));
        if (_resources != null) {
            registry.register(new Scheme("https", newSslSocketFactory(), 443));
        } else {
            registry.register(new Scheme("https", SSLSocketFactory
                .getSocketFactory(), 443));
        }
        return new SingleClientConnManager(getParams(), registry);
    }

    private SSLSocketFactory newSslSocketFactory() {
        try {
            KeyStore trusted = KeyStore.getInstance("BKS");
            InputStream in = _resources.openRawResource(R.raw.mystore);
            try {
                trusted.load(in, "pwd".toCharArray());
            } finally {
                in.close();
            }
            return new SSLSocketFactory(trusted);
        } catch (Exception e) {
            throw new AssertionError(e);
        }
    }
}

Panduan yang ditautkan di sini mungkin akan menjawab pertanyaan awal tanpa perlu memprogram konektor SSL khusus.

Temukan panduan cara mendetail tentang cara mengimpor sertifikat root yang benar-benar membantu Anda memasang sertifikat CA tepercaya pada berbagai versi perangkat Android (di antara perangkat lain).

Pada dasarnya Anda harus:

1. Unduh: file cacerts.bks dari ponsel Anda.

   adb pull /system/etc/security/cacerts.bks cacerts.bks

2. Unduh file .crt dari otoritas sertifikasi yang ingin Anda izinkan.

3. Ubah file cacerts.bks di komputer Anda menggunakan BouncyCastle Provider

4. Unggah file cacerts.bks kembali ke ponsel Anda dan reboot.

Berikut ini adalah langkah demi langkah yang lebih rinci untuk memperbarui ponsel Android sebelumnya: Cara memperbarui keystore otoritas sertifikat keamanan HTTPS pada perangkat pra-android-4.0

Ada solusi JAUH lebih mudah untuk ini daripada diposting di sini, atau di utas terkait. Jika Anda menggunakan tampilan web (seperti saya), Anda dapat mencapainya dengan menjalankan fungsi JAVASCRIPT di dalamnya. Jika Anda tidak menggunakan tampilan web, Anda mungkin ingin membuatnya untuk tujuan ini. Berikut adalah fungsi yang berfungsi di hampir semua browser (atau tampilan web) untuk memulai instalasi (umumnya melalui repositori os cert bersama, termasuk pada Droid). Ini menggunakan trik yang bagus dengan iFrames. Cukup kirimkan url ke file .crt ke fungsi ini:

function installTrustedRootCert( rootCertUrl ){
    id = "rootCertInstaller";
    iframe = document.getElementById( id );
    if( iframe != null ) document.body.removeChild( iframe );
    iframe = document.createElement( "iframe" );
    iframe.id = id;
    iframe.style.display = "none";
    document.body.appendChild( iframe );
    iframe.src = rootCertUrl;
}

MEMPERBARUI:

Trik iframe berfungsi pada Droid dengan API 19 dan yang lebih tinggi, tetapi versi webview yang lebih lama tidak akan berfungsi seperti ini. Gagasan umum masih berfungsi - unduh / buka file dengan tampilan web lalu biarkan os mengambil alih. Ini mungkin solusi yang lebih mudah dan lebih universal (di java aktual sekarang):

 public static void installTrustedRootCert( final String certAddress ){
     WebView certWebView = new WebView( instance_ );
     certWebView.loadUrl( certAddress );
 }

Perhatikan bahwa instance_ adalah referensi ke Kegiatan. Ini berfungsi dengan baik jika Anda mengetahui url ke sertifikat. Namun, dalam kasus saya, saya menyelesaikannya secara dinamis dengan perangkat lunak sisi server. Saya harus menambahkan cukup banyak kode tambahan untuk mencegat url pengalihan dan menyebutnya dengan cara yang tidak menyebabkan kerusakan berdasarkan komplikasi threading, tapi saya tidak akan menambahkan semua kebingungan di sini ...

Apa yang saya lakukan untuk dapat menggunakan sertifikat beginsl cukup mudah. (di telepon root saya)

Saya menyalin /system/etc/security/cacerts.bks ke sdcard saya

Unduh http://www.startssl.com/certs/ca.crt dan http://www.startssl.com/certs/sub.class1.server.ca.crt

Pergi ke portecle.sourceforge.net dan menjalankan portecle langsung dari halaman web.

Membuka file cacerts.bks saya dari sdcard saya (tidak memasukkan apa pun ketika diminta kata sandi)

Pilih impor di portacle dan buka sub.class1.server.ca.crt, im case saya semuanya sudah memiliki ca.crt tapi mungkin Anda perlu menginstalnya juga.

Menyimpan keystore dan menyalinnya baxck ke /system/etc/security/cacerts.bks (saya membuat cadangan file itu terlebih dahulu untuk jaga-jaga)

Reboot ponsel saya dan sekarang saya bisa mengunjungi situs saya menggunakan sertifikat beginsl tanpa kesalahan.

Langkah-langkah ini berhasil bagi saya:

1. Pasang aplikasi Android Dory Certificate di perangkat seluler Anda: https://play.google.com/store/apps/details?id=io.tempage.dorycert&hl=id
2. Sambungkan perangkat seluler ke laptop dengan Kabel USB.
3. Buat folder root pada memori Telepon Internal, salin file sertifikat di folder itu dan lepaskan kabel.
4. Buka aplikasi Android Dory Certificate, klik tombol bulat [+] dan pilih opsi Impor File Sertifikat yang tepat.
5. Pilih format, berikan nama (saya ketik sama dengan nama file), telusuri file sertifikat dan klik [OK].
6. Tiga kartu akan terdaftar. Saya mengabaikan kartu yang hanya memiliki tombol [SIGN CSR] dan melanjutkan untuk mengklik tombol [INSTALL] pada dua kartu lainnya.
7. Saya menyegarkan aplikasi web PWA yang saya buka tidak ada Chrome ponsel saya (itu di-host di Server Web IIS lokal) dan voala! Tidak ada pesan peringatan chrome. Kunci hijau ada di sana. Itu berhasil.

Atau, saya menemukan opsi-opsi ini yang tidak perlu saya coba sendiri tetapi terlihat mudah diikuti:

• Perangkat Apple: http://help.netmotionsoftware.com/support/docs/mobilityxg/1100/help/mobilityhelp.htm#page/Mobility%2520Server%2Fconfig.05.083.html%23
• Perangkat Android: http://help.netmotionsoftware.com/support/docs/mobilityxg/1100/help/mobilityhelp.htm#page/Mobility%20Server/config.05.084.html

Akhirnya, ini mungkin tidak relevan tetapi, jika Anda ingin membuat dan mengatur sertifikat yang ditandatangani sendiri (dengan mkcert) untuk aplikasi PWA Anda (situs web) yang dihosting di server Web IIS lokal, saya mengikuti halaman ini:

https://medium.com/@aweber01/locally-trusted-development-certificates-with-mkcert-and-iis-e09410d92031

Terima kasih dan harap ini membantu !! :)

Berikut solusi alternatif yang sebenarnya menambahkan sertifikat Anda ke daftar bawaan sertifikat bawaan: Memercayai semua sertifikat menggunakan HttpClient melalui HTTPS

Namun, itu hanya akan berfungsi untuk aplikasi Anda. Tidak ada cara untuk melakukannya secara terprogram untuk semua aplikasi pada perangkat pengguna, karena itu akan menjadi risiko keamanan.

Jika Anda memiliki perangkat yang di-rooting, Anda dapat menggunakan Modul Magisk untuk memindahkan Sertifikat Pengguna ke Sistem sehingga akan menjadi Sertifikat Tepercaya

https://github.com/yochananmarqos/Move-Certificates