android客戶端證書

❶ 如何在Android設備上安裝可信CA證書

方法一：
Android 4.0 已經支持用戶安裝根證書了，只需要將根證書放到sdcard根目錄，然後到設置(Settings) – 安全(Security) – 從存儲設備安裝(Install from storage)就可以了，但是這樣安裝需要設置鎖屏PIN或密碼才可以。
但是，該操作需要每次打開手機輸入鎖屏PIN或密碼，為用戶帶來很大的麻煩。
方法二：（注意：需要Root 許可權才可以）
手機獲取Root許可權後，直接把Base64文本格式的根證書文件復制到etc/security/cacerts文件夾里，然後到設置(Settings) – 安全(Security) – 受信任的憑據(Trusted credentials)裡面，此時你要安裝的根證書應該會顯示已經安裝好了。這樣安裝之後根證書是作為系統證書使用的，而不是按照方法一安裝方式的用戶證書。

❷ Android SSL證書設置和鎖定(SSL/TLS Pinning)

在Android應用開發中，確保安全性至關重要，特別是混合式H5應用。本文著重介紹Android中的SSL/TLS Pinning，即證書鎖定，以增強客戶端與服務端的安全連通性。

常規情況下，Android系統內置了由CA簽發的證書，開發時無需過多設置。例如，App security best practices中提到的infinisign.com，其證書默認可直接使用。然而，對於Android N及以上版本（API 24），官方建議採用網路安全性設置，防止中間人攻擊，但此方法僅適用於新版本，低版本仍需依賴證書鎖定。

創建一個名為network_security_config.xml的配置文件，其中包含備份密鑰，以防證書到期或更換。盡管中級和根級證書有效期長，但infinisign.com的證書通常為一年，因此在更新APP時可能需要重新設置。在Androidmanifest.xml中引入此配置文件，配置網路安全。

OkHttp是Android開發中常用的網路請求框架，但對於公鑰鎖定，OkHttp不支持，必須通過證書鎖定SSL數字證書。TrustManager則是一個舊的證書鎖定方法，但存在被中間人繞過的風險，現代解決方案如開源的Let's Encrypt或價格適中的DV SSL證書（如PositiveSSL）更推薦。

通過在APP源碼中內置證書，載入到KeyStore，然後實例化TrustManagerFactory並創建SSLContext來實現TrustManager鎖定。目標是通過縮小信任的CA范圍，提升數據傳輸的安全性，保護用戶隱私。

雖然許多移動系統內置了多個可信CA，但仍存在老舊或不被信任的證書風險，以及針對特定版本系統的安全漏洞。因此，實施SSL/TLS Pinning是保障移動應用安全的重要步驟。

對於iOS的證書鎖定，可參考相關教程：IOS SSL證書設置和鎖定(SSL/TLS Pinning)。獲取更多開發資源和優惠信息，可關注infinisign.com官網和微信公眾號。

❸ 如何操作android證書文件實現簽章

Android系統要求，所有的程序經過數字簽名後才能安裝。Android系統使用這個證書來識別應用程序的作者，並且建立程序間的信任關系。證書不是用於用戶控制哪些程序可以安裝。證書不需要授權中心來簽名：Android應用程序上使用自己簽名的證書是完全允許且普遍的。
理解Android應用程序簽名有以下幾個重要點：
·所有的應用程序都必須簽名。系統不會安裝任何一個不簽名的程序。
·你可以使用自己的證書來簽名。不需要任何授權中心。
·當你要為最終用戶發布你的應用程序的時候，你必須簽入一個合適的密鑰。你不可以發布程序的時候還使用SDK工具簽入的DebugKey。
·系統只在安裝應用程序的時候檢測證書的有效期。如果應用程序在安裝之後證書失效了，那麼，應用程序還是可以正常工作。
·你可以使用標准工具——Keytool和Jarsigner——生成Key並簽名apk文件。
·一旦你為應用程序簽名了，一定要使用zipalign工具來優化最終的APK包。
Android系統不會安裝和運行沒有正確簽名的應用程序。這條規則適用於任何運行Android系統的地方，不管是真機還是模擬器。正是由於這個原因，你必須在模擬器或真機上運行/調試程序之前對程序進行簽名。
當你調試應用程序時，AndroidSDK工具替你對應用程序進行了簽名。Eclipse的ADT插件和Ant編譯工具都提供了兩種簽名模式——Debug模式和Release模式。
·當開發和測試時，你可以使用Debug模式。在Debug模式下，編譯工具使用內嵌在JDK中的Keytool工具來創建一個keystore和一個key(包含公認的名字和密碼)。在每次編譯的時候，使用這個DebugKey來為apk文件簽名。由於密碼是公認的，在每次編譯的時候，也不需要提示你輸入keystore和key密碼。
·當你的程序准備發布時，你必須在Release模式下，使用密鑰來為apk文件簽名。有以下兩種方式可以做到：
1.命令行中使用Keytool和Jarsigner。在這個方法中，首先需要編譯出一個未簽名的apk。然後使用Jarsigner(或相似的工具)，用你的密鑰為apk手動簽名。如果你沒有合適的密鑰，你可以運行Keytool來手動生成自己的keystore/key。
2.使用ADT導出向導。如果你使用Eclipse/ADT插件進行開發，你可以使用導出向導來編譯程序，生成密鑰(如果需要)，並為apk簽名，所有這些操作都在導出向導中。一旦你的程序簽名了，別忘了運行zipalign來為apk進行額外的優化。
簽名策略
應用程序簽名的某些方面可能會影響應用程序的開發，特別是你打算一起發布多個應用程序的時候。一般來說，推薦的策略是在整個應用程序壽命內，所有的程序簽上相同的證書。
以下有幾個應該這么做的原因：
·應用程序升級——當你對應用程序進行升級時，如果你想用戶平穩的升級，那麼，你就需要簽上相同的證書。當系統安裝一個升級應用程序時，如果新版本的證書與老版本的證書有匹配的話，那麼，系統才會允許進行升級。如果你沒有為版本簽上合適的證書，當你安裝時，你需要給應用程序指定一個新的包名——在這種情況下，用戶安裝的新版本，被當作是一個全新的應用程序。
·應用程序模塊化——如果應用程序請求的話，Android系統允許簽有相同證書的應用程序運行在相同的進程里，這樣，系統就會把它們看作是一個單一的應用程序。用這種方法配置應用程序，用戶可以選擇更新每個獨立的模塊。
·代碼/數據許可權共享——Android系統提供了基於簽名的許可權檢查，因此，如果應用程序間簽有特定的證書，那麼，它們之間可以共享功能。通過多個程序簽有相同的證書並且使用基於簽名的許可權檢查，你的程序可以以一種安全的方式共享代碼和數據。還有一個決定簽名策略的重要因素是：如何設定key的有效期。
·如果你計劃支持單個應用程序的升級，你需要確保你的key擁有一個超過期望的應用程序生命周期的有效期。推薦使用25年或更多的有效期。當你的key過期了，用戶也就不能平穩的更新到新版本了。
·如果你想給多個無關的應用程序簽上相同的key，那麼，你必須確保key的有效期超過所有應用程序所有版本的生命周期，包括將來有可能添加到這一陣營的程序。
·如果你想在AndroidMarket上發布你的程序，key的有效期必須在2033.10.22以後。Market伺服器強制這一要求，目前是保證用戶可以平穩的更新他們的程序。
當你設計應用程序時，一定要把這些點記在腦子里，並且使用一個合適的證書來為應用程序簽名。
簽名的基本設定
在你開始之前，你必須保證Keytool對SDK編譯工具來說是可利用的。多數情況下，你可以通過設置JAVA_HOME環境變數來告訴SDK編譯工具如何找到Keytool。另外，你還可以添加JDK中Keytool的路徑到PATH的變數里。
如果你在Linux上開發，並且使用GNU編譯器來編譯Java，那麼，請確保系統是使用JDK中的Keytool，而不是gcj。如果Keytool已經在你的PATH中，它有可能是對/usr/bin/keytool的符號鏈接。在這種情況下，檢查符號鏈接的目標，確保它是指向JDK中的Keytool。如果你打算對公眾釋放你的應用程序，你還需要Jarsigner工具。Jarsigner和Keytool都包含在JDK中。
Debug模式下簽名
Android編譯工具提供了Debug簽名模式，使得開發和調試應用程序更加容易，而且還滿足Android系統的簽名要求。當使用Debug模式編譯你的app時，SDK工具會調用Keytool工具自動創建一個Debug的keystore和key。然後，這個Debugkey會自動用於apk的簽名，這樣，你不需要使用你自己的key來為應用程序包簽名。
SDK工具使用預先定義好的名字/密碼來創建Debugkeystore/key：
·Keystore名字：「debug.keysotre」
·Keystore密碼：「android」
·Key別名：「androiddebugkey」
·Key密碼：「android」
·CN：「CN=AndroidDebug,O=Android,C=US」
如果需要的話，你可以改變Debugkeystore/key的位置和名字，或者提供一個自定義的Debugkeysotre/key。然而，任何自定義的Debugkeystore/key必須使用和默認Debugkey(上面描述的)相同的名字和密碼。(在Eclipse/ADT中，操作Windows>Preferences>Android>Build實現。)
注意：你不能將簽有Debug證書的應用程序發布給公眾。
Eclipse用戶
如果你在Eclipse/ADT下開發(並且已經按照上面描述的「簽名的基本設定」配置了Keytool)，Debug模式下簽名默認是開啟的。當你運行或是調試應用程序時，ADT會使用Debug證書進行簽名，並運行zipalign，然後安裝到選擇的模擬器或是連接上的設備。整個過程不需要你參與，前提是ADT能訪問Keytool。
Ant用戶
如果你使用Ant來編譯你的apk文件，需要在ant命令中添加debug選項來開啟Debug簽名模式(假設你正在使用由android工具生成build.xml文件)。當你運行antdebug來編譯你的程序時，編譯腳本會生成一個keystore/key，並為apk進行簽名。然後腳本會使用zipalign工具對apk進行對齊處理。整個過程不需要你參與。閱讀「其它IDE下開發：Debug模式編譯」來了解更多的信息。
Debug證書過期
Debug模式下簽名用的證書(默認是Eclipse/ADT和Ant編譯)自從它創建之日起，1年後就會失效。
當證書失效時，你會得到一個編譯錯誤，在Ant編譯上，
錯誤如下：
debug:
[echo]Packagingbin/samples-debug.apk,andsigningitwithadebugkey...
[exec]DebugCertificateexpiredon8/4/083:43PM
在Eclipse/ADT中，Android控制台上你將會看到一個相似的錯誤。
為了解決這個問題，只需要刪掉debug.keystore文件即可。AVD默認存儲的位置在：~/.android/avd(OSX和Linux)，C:DocumentsandSettings\.android(WindowsXP)，C:Users\.android(WindowsVista)。
當下一次編譯的時候，編譯工具會重新生成一個新的keystore和Debugkey。
Release模式下簽名
當你的程序准備好釋放給其它用戶時，你必須：
1.獲取一個合適的密鑰
2.在Release模式下編譯程序
3.使用密鑰簽名程序
4.對齊APK包
如果你是使用Eclipse/ADT插件開發，你可以使用導出向導來完成編譯、簽名和對齊等操作。在整個過程中，導出向導甚至還可以生成一個新的keystore和密鑰。因此，如果你使用Eclipse，你可以直接跳到「使用EclipseADT編譯和簽名」。
獲取一個合適的密鑰為了進行程序的簽名，首先，你必須有一個合適的密鑰。密鑰指：
·個人持有。
·代表個人、公司或組織實體的身份。
·擁有一個有效期。有效期推薦超過25年。
如果你在AndroidMarket上發布你的程序，需要注意一點的是：程序的有效期需要在2033.10.22之後。你不能上傳一個應用程序，而它的key的有效期是在這個日期之前。
·不是由AndroidSDK工具生成的Debugkey。
如果你沒有一個合適的key，你一定要使用Keytool來生成一個。如「基本設定」中描述的，確保Keytool可用。
為了用Keytool生成一個key，使用keytool命令並傳入一些可選參數，如下表所示。
警告:確保密鑰的安全。一定要閱讀「安全儲存你的密鑰」中討論如何確保你的密鑰的安全以及這對你和用戶為何如此重要。尤其是，當你生成你的密鑰時，一定要為keystore和key使用強密碼。