Проверка списка отозванных сертификатов
1,00
р.
В Android можно каким-либо образом указать, что при использовании SSL/TLS нужно проверять списки отозванных сертификатов (CRL) или всё нужно реализовывать самостоятельно?
В JavaSE есть способ указать в SSLContext такую проверку.
PKIXBuilderParameters pkixParams = new PKIXBuilderParameters(truststore, new X509CertSelector()) CollectionCertStoreParameters params = new CollectionCertStoreParameters(crls) CertStore store = CertStore.getInstance("Collection", params) pkixParams.addCertStore(store) pkixParams.setRevocationEnabled(true) ManagerFactoryParameters trustParams = new CertPathTrustManagerParameters(pkixParams) TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()) tmf.init(trustParams)
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()) kmf.init(keystore, keystorePassword.toCharArray())
this.sslcontext = SSLContext.getInstance(algorithm) this.sslcontext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null)
Но в Android нет нужного криптопровайдера для этого.
Ответ
Можно, просто параметр setRevocationEnabled находится в классе PKIXParameters, а не в PKIXBuilderParameters. Необходимо создать и использовать экземпляр этого класса и его передавать в качестве параметра в конструктор CertPathTrustManagerParameters
В JavaSE есть способ указать в SSLContext такую проверку.
PKIXBuilderParameters pkixParams = new PKIXBuilderParameters(truststore, new X509CertSelector()) CollectionCertStoreParameters params = new CollectionCertStoreParameters(crls) CertStore store = CertStore.getInstance("Collection", params) pkixParams.addCertStore(store) pkixParams.setRevocationEnabled(true) ManagerFactoryParameters trustParams = new CertPathTrustManagerParameters(pkixParams) TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()) tmf.init(trustParams)
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()) kmf.init(keystore, keystorePassword.toCharArray())
this.sslcontext = SSLContext.getInstance(algorithm) this.sslcontext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null)
Но в Android нет нужного криптопровайдера для этого.
Ответ
Можно, просто параметр setRevocationEnabled находится в классе PKIXParameters, а не в PKIXBuilderParameters. Необходимо создать и использовать экземпляр этого класса и его передавать в качестве параметра в конструктор CertPathTrustManagerParameters
