Я пишу приложение для Android, которое подключается к серверу для вызова некоторых веб-сервисов. Этот сервер использует самозаверяющий сертификат для SSL и требует клиентский сертификат для аутентификации.

Когда я подключаюсь к серверу с помощью браузера Android Chrome или браузера Safari с Iphone, он работает отлично. Соединение SSL устанавливается, и аутентификация сертификата клиента успешно выполняется и перенаправляется на мои веб-сервисы. Но когда я подключаюсь к другим браузерам, таким как стандартный Android-браузер, Dolphin и т. Д., Это приводит к тайм-ауту сети.

Также, когда я соединяюсь с моим приложением для Android, я получаю следующую ошибку:

javax.net.ssl.SSLException: Read error: ssl=0x12746b8: I/O error during system call, Connection reset by peer
at org.apache.harmony.xnet.provider.jsse.NativeCrypto.SSL_read(Native Method)
at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl$SSLInputStream.read(OpenSSLSocketImpl.java:671)
at libcore.io.Streams.readSingleByte(Streams.java:41)
at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl$SSLInputStream.read(OpenSSLSocketImpl.java:655)
at libcore.io.Streams.readAsciiLine(Streams.java:201)
at libcore.net.http.HttpEngine.readResponseHeaders(HttpEngine.java:544)

Я следил за блогом chariotsolutions:http://chariotsolutions.com/blog/post/https-with-client-certificates-on/

Я также преобразовал сертификат клиента в формат BKS с графическим интерфейсом Portecle.

Вот мой код:

private static final String USER_AGENT = "Mozilla/5.0 (Linux; U; Android 4.0.3; et-ee; GT-P5100 Build/IML74K) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Safari/534.30";

....

@Override
protected Object doInBackground(String... urlString) {
    ....
    URL url = new URL(urlString[0]);
    HttpsURLConnection urlConnection =(HttpsURLConnection)url.openConnection();
    urlConnection.setSSLSocketFactory(getSSLContext().getSocketFactory());
    urlConnection.addRequestProperty("User-Agent", USER_AGENT);
    urlConnection.setDoInput(true);   
    urlConnection.connect();
    ....
}

private SSLContext getSSLContext() throws CertificateException,IOException, KeyStoreException, NoSuchAlgorithmException,KeyManagementException, java.security.cert.CertificateException {
    CertificateFactory cf = CertificateFactory.getInstance("X.509");
    InputStream caRootInput = context.getAssets().open("MySSLCertificate_here.crt");
    InputStream caClientAuth = context.getAssets().open("MyCientCertificate_here");
    ....
    Certificate caRoot;
    caRoot = cf.generateCertificate(caRootInput);

    // KeyStore and KeyManager for Client Certificate
    KeyStore keystore_client = KeyStore.getInstance("BKS");
    keystore_client.load(caClientAuth, "My_passWord_here".toCharArray());
    KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
    kmf.init(keystore_client, "My_passWord_here".toCharArray());
    KeyManager[] keyManagers = kmf.getKeyManagers();

    // KeyStore and Trustmanager for SSL Certificate
    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
    keyStore.load(null, null);
    keyStore.setCertificateEntry("caRoot", caRoot);
    TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    tmf.init(keyStore);

    SSLContext context = SSLContext.getInstance("TLSv1");
    context.init(keyManagers, tmf.getTrustManagers(), null);
    return context;
    ....
    }

уведомлениеУ меня также есть возможность подключения к серверу без проверки подлинности сертификата клиента (в результате чего другой URL) для тестирования. Код выше в этом случае тот же, но только сcontext.init (null, tmf.getTrustManagers (), null), Это работает отлично, устанавливает соединение SSL и перенаправляет меня на мои веб-сервисы.

Что меня действительно беспокоит, так это то, что все работает с Chrome и Safari на Iphone. Итак, я думаю, что проблема может быть только в моем коде Android?

У кого-нибудь была похожая проблема и есть идея или, может быть, решение его?

Большое спасибо!

РЕДАКТИРОВАТЬ:

Я забыл упомянуть, что я также установил Cookie Manager, который был необходим для SSL-соединения. (Устанавливается в MainActivity в onCreate ())

// Required for SSL connection
CookieHandler.setDefault(new CookieManager());

Без этого я получал ту же ошибку при попытке установить SSL-соединение (без сертификата клиента), но, к сожалению, это не помогает и с Client Cert.

ОБНОВЛЕНИЕ № 2

Имея много дополнительной информации от nelenkov.blogspot.de/2011/12/using-custom-certificate-trust-store-on.html (спасибо за эту великолепную статью @ Николай) и его приложения Android Connectiontest на Github, я нашел несколько интересных вещей.

Сервер настроен на выдачу мне куки при подключении. Это для Conncetion «работает», если я подключаюсь без Client Authentication на предыдущем шаге, так что при втором подключении (с Client Auth) он только проверяет этот Cookie и пропускает меня.

Второе, что я наконец заметил, Сервер дает мнеданное время, Я предполагаю, что Соединение должно следовать за Перенаправлением автоматически, возвращая этот Nonce. Некоторые браузеры, такие как Firefox и стандартный браузер, останавливают соединение (после перенаправления с кодом ответа 302) и, наконец, останавливаются с 404, в результате чего URL-адрес выглядит как ..policy? Nonce = fno3i9Hsfn3uz. Затем я должен вручную перезагрузить этот URL, чтобы добраться до веб-сервисов. К сожалению, это не работает с моим приложением для Android.

Я думаю, эта проблема может быть неправильной конфигурацией на стороне сервера тогда?