android签名证书
 
2019-07-05
 
Android要求所有已安装的应用程序都使用数字证书做数字签名,数字证书的私钥由应用开发者持有.Android使用证书作为标识应用程序作者的一种方式,并在应用程序之间建立信任关系.
 
沃通(WoSign)安卓代码签名证书，企业和个人开发者都可以使用沃通安卓(Android) 代码签名证书来签名Android 平台的 .apk
 
文件，以便通过互联网安全分发，使得最终用户能确信此代码确实是您提供的，而且没有在传输过程中被非法篡改和被破坏。
 
我们会遇到诸如：服务器证书验证错误，域名验证失败，客户端证书验证，Android上TLS版本兼容问题等问题，那这些Android上使用https的问题该如何解决呢？
 
“您的连接不是私人的”，对于这个问题相信不少朋友在Android设备上都出现过，其实这个问题是Android设备最常见的问题之一，这可能会让您感到困惑，因为它甚至出现在最新的操作系统和最新的设备上，但这不是什么大问题，但是还是让我们来看看如何修复Android手机上的SSL连接错误吧。
 
发布过Android应用的朋友们应该都知道,Android APK的发布是必需要签名,本签名指南演示如何使用WoSign安卓代码签名证书,签名安卓 .apk 程序。
 
最新资讯

 
前段时间一直在忙高通项目的需求，同事转给我一个证书安装的bug给我，一直没时间解，给Marvell提case，个把月了还不给回复，囧！求人不如求己正好最近需求做完了，索性就自己跟下代码。
 
证书安装入口在设置-->安全里，相应代码如下：
 

 
android:title="@string/credentials_install"
 
android:summary="@string/credentials_install_summary"
 
android:persistent="false">
 

 
android:targetPackage="com.android.certinstaller"
 
android:targetClass="com.android.certinstaller.CertInstallerMain"/>
 
当我们点击“从存储设备安装证书”时，就会通过intent进入CertInstallerMain。在onCreate里对相应action做处理
 
if (Credentials.INSTALL_ACTION.equals(action)
 
|| Credentials.INSTALL_AS_USER_ACTION.equals(action)) {
 
Bundle bundle = intent.getExtras();//这里获取的bundle为空。
 
由于bundle未空会执行如下代码：
 
if (bundle == null
 
|| bundle.isEmpty()
 
|| (bundle.size() == 1
 
&& (bundle.containsKey(KeyChain.EXTRA_NAME)
 
|| bundle.containsKey(Credentials.EXTRA_INSTALL_AS_UID)))) {
 
final Intent openIntent = new Intent(Intent.ACTION_OPEN_DOCUMENT);
 
openIntent.setType("*/*");
 
openIntent.putExtra(Intent.EXTRA_MIME_TYPES, ACCEPT_MIME_TYPES);
 
openIntent.putExtra(DocumentsContract.EXTRA_SHOW_ADVANCED, true);
 
startActivityForResult(openIntent, REQUEST_OPEN_DOCUMENT);
 
这里就会弹出一个类似文件管理的界面，选择相应的证书后会自动安装证书。
 
protected void onActivityResult(int requestCode, int resultCode, Intent data) {
 
if (requestCode == REQUEST_OPEN_DOCUMENT) {
 
if (resultCode == RESULT_OK) {
 
startInstallActivity(null, data.getData());
 
} else {
 
finish();
 
}
 
} else if (requestCode == REQUEST_INSTALL) {
 
setResult(resultCode);
 
finish();
 
} else {
 
Log.w(TAG, "unknown request code: " + requestCode);
 
}
 
}
 
private void startInstallActivity(String mimeType, byte[] value) {
 
Intent intent = new Intent(this, CertInstaller.class);
 
if ("application/x-pkcs12".equals(mimeType)) {
 
intent.putExtra(KeyChain.EXTRA_PKCS12, value);
 
} else if ("application/x-x509-ca-cert".equals(mimeType)
 
|| "application/x-x509-user-cert".equals(mimeType)
 
|| "application/x-x509-server-cert".equals(mimeType)
 
|| "application/x-pem-file".equals(mimeType)
 
|| "application/pkix-cert".equals(mimeType)) {
 
intent.putExtra(KeyChain.EXTRA_CERTIFICATE, value);
 
} else {
 
throw new IllegalArgumentException("Unknown MIME type: " + mimeType);
 
}
 
startActivityForResult(intent, REQUEST_INSTALL);
 
}
 
进入CertInstaller后，如果没有设置设置锁屏会先提示设置锁屏
 
protected void onCreate(Bundle savedStates) {
 
super.onCreate(savedStates);
 
mCredentials = createCredentialHelper(getIntent());
 
mState = (savedStates == null) ? STATE_INIT : STATE_RUNNING;
 
if (mState == STATE_INIT) {
 
if (!mCredentials.containsAnyRawData()) {
 
toastErrorAndFinish(R.string.no_cert_to_saved);
 
finish();
 
} else if (mCredentials.hasPkcs12KeyStore()) {
 
showDialog(PKCS12_PASSWORD_DIALOG);
 
} else {
 
MyAction action = new InstallOthersAction();
 
if (needsKeyStoreAccess()) {
 
sendUnlockKeyStoreIntent();
 
mNextAction = action;
 
} else {
 
action.run(this);
 
}
 
}
 
设置完成后在进行证书安装
 
protected void onResume() {
 
super.onResume();
 
if (mState == STATE_INIT) {
 
mState = STATE_RUNNING;
 
} else {
 
if (mNextAction != null) {
 
mNextAction.run(this);
 
}
 
}
 
}
 
最终会调用installOthers()方法
 
if (mCredentials.hasKeyPair()) {             saveKeyPair();             finish();         } else {             X509Certificate cert = mCredentials.getUserCertificate();             if (cert != null) {                 // find matched private key                 /* modify by yangzhiming 20150803 for bug 60294 start */                 String key = null;                 try{                     key = Util.toMd5(cert.getPublicKey().getEncoded());                 }catch (RuntimeException ex) {                     toastErrorAndFinish(R.string.invalid_cert);                     return;                 }                 /* modify by yangzhiming 20150803 for bug 60294 end */                 Map map = getPkeyMap();                 byte[] privatekey = map.get(key);                 if (privatekey != null) {                     Log.d(TAG, "found matched key: " + privatekey);                     map.remove(key);                     savePkeyMap(map);                     mCredentials.setPrivateKey(privatekey);                 } else {                     Log.d(TAG, "didn't find matched private key: " + key);                 }             }             nameCredential();         }     CA证书安装的大致流程就是这样了。

往期精选（欢迎转发~~）
 
如何看待程序员35岁职业危机？
Java全套学习资料（14W字），耗时半年整理
我肝了三个月，为你写出了GO核心手册
消息队列：从选型到原理，一文带你全部掌握
肝了一个月的ETCD，从Raft原理到实践
更多…
 
我手机是小米手机，之前把系统全部清理了一遍，可能把浏览器中之前安装的证书被删掉，导致后来连fiddle后，始终访问不到对应的代理服务机器，然后fiddler中的log一直显示证书问题（如果不确定是fiddler的问题，还是自己手机的问题，可以换一部android手机试试，当时我一直以为是fiddler的问题，后来借了一部同事的手机，发现他的手机可以访问代理服务器，这才确定是自己手机的问题）
 　　然后就是怎样安装证书的问题了，打开fiddler，通过172.20.186.88:8888到浏览器中请求（172.20.186.88是我fidder中显示的地址，你需要输入你的），可以下载到对应的证书，但是奇怪的是，下载该证书后，没有提示直接安装，该证书直接下载到手机的Download目录中，我打开该目录，点击下载的证书，提示“无法安装该证书，因为无法读取该证书文件”，但是我记得以前下载证书时，系统会提示我输入证书名称，然后进行安装，但现在由于手机无法安装该证书，所以就没有对应的安装提示，所以就只能手动安装了。
 　　如何手动安装呢？可以按照如下操作：
 　　设置->系统安全->从存储设备安装（我觉得只要找到“从存储设备安装”即可，因为每个android手机的设置都不一样，这个自己多点点就能找到），如下图所示：
 　　
 　　选择下载的证书，点击“确定”后，会提示你输入证书的名字，可以随便命名“xxx”，如下图所示：
 　　
 　　以为一切即将大功告成之际，系统提示你“输入凭证存储密码”，这是个什么鬼？？？试了好几个密码都不行，后来在网上一查，原来就是你自己设置的开机手势密码，可以是数字，也可以是图形界面，如果是数字，直接输入即可；如果是图形，可以把图形转化为数字，图形从左到右一次为123，456，789，例如你的手势密码为一个大写的“L”，那么对应的数字密码为“14789”，是不是很简单。输入该密码后，系统可能还会提示你再输入一遍手势密码（也可能没有，我的需要输入），输入完毕后，证书安装完成，大功告成！

证书安装
 
1、从burp中导出证书，一般是cer格式，如果手机不识别，需要转换格式，各种格式可以都试一下
 
 
2、转换格式可以使用浏览器，例如firefox，选项-隐私与安全-查看证书，里面导入证书后再导出，导出后为crt格式
 
 
 或使用openssl命令转换格式
 
3、安装到手机，首先usb线连接手机，进入内存，把文件放到目录里，再从手机中安装。
 手机上安装：设置->安全->加密与凭据->从存储设备安装，然后找到刚刚放到手机中的证书，点击安装就行。
 
用户证书不信任
 
Android版本较高，会提示“已安装证书授权中心 受到不明第三方的监控”，也就是不信任用户证书。
 解决办法有两个
 方法一：安装为系统证书
 1、安装成系统证书，需要root，安装re浏览器（可以管理手机里所有文件），主要是需要往system目录下写文件的权限。
 在导出burp证书后，用openssl转换格式为pem格式，查看pem证书详情，得到它的hash值
 
举例：
 
openssl x509 -subject_hash_old -in <certificate.pem>
 
得到如下信息，第一排就是hash值
 
e7f15d06
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 
将证书重名名为e7f15d06.0，这个文件直接放入系统证书的目录里。
 打开手机里re浏览器，找到/system/etc/security/cacerts，里面都是hash.0这个格式的文件，放这里面就好了。
 
问题：重新刷机了，安装了re浏览器，也挂载读写权限了，但是还是无法写入system。
 问题解决：因为系统是Android10，网上那些挂载分区，修改system读写权限都不管用了。可以使用magisk里的Move Certificates模块，安装好该模块后自动将用户证书添加进系统证书了。
 magisk安装好后，在线下载模块，需要挂vpn，fq。
 
方法二：
 1、将要抓包的apk，反编译后，在AndroidManifest.xml中找到android:networkSecurityConfig="@xml/network_security_config"
 如果没有就加上
 2、在res/xml目录中，新建network_security_config.xml文件，有的话直接在这个文件中修改
 添加如下代码：
 
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config>
        <trust-anchors>
            <certificates src="user" />
            <certificates src="system"/>
        </trust-anchors>
    </base-config>
</network-security-config>
 
如图所示：
 user就是信任用户证书
 system就是信任系统证书
 
 3、保存，重新编译打包APK，安装到手机，就可以抓包了
 这个方法仅限于APK没有做重新编译重打包重签名这些防护的情况。