从服务器HTTPS接收并验证证书 - android

Question

我从我的android客户端通过https调用web服务。我必须验证从服务器端接收到的证书。我怎么做 ？目前这是我用来调用Web服务的代码。

private static String SendPost(String url, ArrayList<NameValuePair> pairs) { // url = "https://....." 
    errorMessage = ""; 
    String response = ""; 

    DefaultHttpClient hc=new DefaultHttpClient();  
    ResponseHandler <String> res=new BasicResponseHandler();  
    HttpPost postMethod=new HttpPost(url); 

    try { 
postMethod.setEntity(new UrlEncodedFormEntity(pairs)); 
     response = hc.execute(postMethod, res); 
    } catch (UnsupportedEncodingException e) { 
     e.printStackTrace(); 
    } catch (ClientProtocolException e) { 
     e.printStackTrace(); 
    } catch (IOException e) { 
     e.printStackTrace(); 
    }   

    return response; 
} 

如何验证在执行Post期间从服务器收到的自签名证书？我必须通过公钥/私钥进行测试。客户端将拥有一个CA文件。只需要客户端使用CA来验证服务器证书，服务就是公开的。这与公钥/私钥有关。在打电话之前，我怎样才能从服务器接收证书？

他们有几个选项和代码片段可用在stackoverflow上。我发现有多个答案的链接夫妇是： Accepting a certificate for HTTPs on Android HTTPS GET (SSL) with Android and self-signed server certificate

但我不能做出来，这是很好/适用于我！我不想禁用所有或接受任何。必须检查公/私钥/

任何帮助，高度赞赏。

Answer 1

Bob Lee写了一篇关于如何在Android上使用SSL证书的博文。我认为这是适用于您的情况：http://blog.crazybob.org/2010/02/android-trusting-ssl-certificates.html

你只需要创建一个KeyStore包含您的自签名证书，并使用在该职位描述的定制HttpClient实施。

---

UPDATE：

主机名的验证可以通过setting a custom X509HostnameVerifier在SSLSocketFactory customizez。一些实现已经可以在安卓AllowAllHostnameVerifier，BrowserCompatHostnameVerifier，StrictHostnameVerifier

/* ... */ 
public class MyHostnameVerifier extends AbstractVerifier { 
    boolean verify(String hostname, SSLSession session) { 
    X509Certificate[] chain = session.getPeerCertificateChain(); 
    /* made some checks... */ 
    return checked; 
    } 
} 
sslSocketFactory.setHostnameVerifier(new MyHostnameVerifier());