Android 证书安装流程分析

已于 2023-04-23 17:32:33 修改
阅读量7.8k 收藏 17
点赞数 9
文章标签: android
于 2021-12-06 18:09:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/z9722/article/details/121752677
版权
本文详细介绍了Android系统证书在不同版本中的存储路径,包括5.1系统和7.1以后系统的区别。同时,阐述了手动安装证书的步骤,涉及到AndroidManif.xml配置、Intent使用以及相关组件如CertInstaller的作用。此外,分析了证书安装过程中的加密和权限要求,特别是锁屏密码的角色。最后,展示了获取系统证书的代码示例,并提及了C层的关键操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.证书在源码中的路径

5.1系统证书(命名是 openssl x509 -subject_hash_old -in filename)
libcore/luni/src/main/files/cacerts

7.1及以后系统证书
/system/ca-certificates/files

二.证书在固件中的路径

/system/etc/security/cacerts

三.手动安装流程

设置-->安全-->从SD卡安装证书:
在AndroidManif.xml里

<Preference android:key="credentials_install"
        android:title="@string/credentials_install"
        android:summary="@string/credentials_install_summary"
        android:persistent="false">
    <intent android:action="android.credentials.INSTALL"
            android:targetPackage="com.android.certinstaller"
            android:targetClass="com.android.certinstaller.CertInstallerMain"/>
</Preference>

packages/apps/CertInstaller
CertInstallerMain打开Document,选择证书文件,选择好后。启动CerInstaller
然后根据证书类型区分createPkcs12PasswordDialog和createNameCredentialDialog,看个简单的createNameCredentialDialog

try {
    startActivityForResult(
            mCredentials.createSystemInstallIntent(),   //Intent intent = new Intent("com.android.credentials.INSTALL");
            REQUEST_SYSTEM_INSTALL_CODE);
} catch (ActivityNotFoundException e) {
    Log.w(TAG, "systemInstall(): " + e);
    toastErrorAndFinish(R.string.cert_not_saved);
}

看intent,又到了Settings的CredentialStorage

Settings/src/com/android/settings/CredentialStorage.java    installIfAvailable
添加证书:Settings/src/com/android/settings/CredentialStorage.java    installIfAvailable()
删除证书:Settings/src/com/android/settings/TrustedCredentialsSettings.java   AliasOperation#doInBackground
显示证书:Settings/src/com/android/settings/TrustedCredentialsSettings.java   AdapterData#AliasLoader#doInBackground   
证书内容:Settings/src/com/android/settings/TrustedCredentialsSettings.java  CertHolder  SslCertificate

安装类型两种: userKey和Ca证书(pk12要处理密码)
CertInstaller\src\com\android\certinstaller\CredentialHelper.java

异常码:
机器未设置密码锁
机器未解锁
锁屏方式不符合要求还是packages/apps/CertInstaller/CertInstallerMain,startActivityForResult结果回调

if (requestCode == REQUEST_SYSTEM_INSTALL_CODE) {
    if (resultCode == RESULT_OK) {
        Log.d(TAG, "credential is added: " + mCredentials.getName());
        Toast.makeText(this, getString(R.string.cert_is_added,
                mCredentials.getName()), Toast.LENGTH_LONG).show();

        if (mCredentials.hasCaCerts()) {
            // more work to do, don't finish just yet
            new InstallCaCertsToKeyChainTask().execute();
            return;
        }
        setResult(RESULT_OK);
    } else {
        Log.d(TAG, "credential not saved, err: " + resultCode);
        toastErrorAndFinish(R.string.cert_not_saved);
    }
}


如果是CaCerts,还要进行 new InstallCaCertsToKeyChainTask().execute() --> mCredentials.installCaCertsToKeyChain --> keyChainService.installCaCertificate
keyChainService实现在packages/apps/KeyChain  mTrustedCertificateStore.installCertificate
external/conscrypt/src/platform/java/org/conscrypt/TrustedCertificateStore   installCertificate --> writeCertificate


四.c层
system/security/keystore/keystore.cpp

添加证书  installIfAvailable -> mKeyStore.put -> mBinder.insert (这里还是java层)
                    -> KeyStoreProxy::insert -> KeyStore::put  (这里getEncryptionKey用到一个AESkey,哪里来的?)

五.为什么要锁屏密码
以设置密码为例
Settings/src/com/android/settings/ChooseLockPassword.java  mLockPatternUtils.saveLockPassword
frameworks/base/core/java/com/android/internal/widget/LockPatternUtils.java  getLockSettings().setLockPassword
frameworks/base/services/core/java/com/android/server/LockSettingsService.java  setLockPassword -> maybeUpdateKeystore  -> ks.passwordUid
    -> 到keystore.cpp的password_uid 
    
password_uid 有三种状态,其中STATE_UNINITIALIZED和STATE_LOCKED都会调用setupMasterKeys,经锁屏密码设置AESkey
这里就解答了添加证书时的AESKey是哪来的

这个是基于Android5.1分析的,高版本可能文件名不同,但是知道大概位置,搜索下,应该没什么难度

android获取系统证书代码:

    private void listX509Certificate() throws Exception {
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init((KeyStore) null); 获取证书列表,keystore需要传null
        for (TrustManager tms : tmf.getTrustManagers()) {
            if (tms instanceof X509TrustManager) {
                X509Certificate[] acceptedIssuers = ((X509TrustManager) tms).getAcceptedIssuers();
                PLog.d( "Number of trusted certificates is "+   acceptedIssuers.length);
                for (X509Certificate x509Certificate : acceptedIssuers) {
                    printCert(x509Certificate);
                }
                break;
            }
        }
    }

  


 

z9722
关注
Android13 系统/用户证书安装相关分析总结(一) 证书分类以及安装流程分析
fighting_2017的博客
10-27 1422
说这个问题之前,先说一下背景。是为了写一个SDK的接口,需求大致是增加证书安装卸载的接口(系统、用户)。于是了解了一下证书相关的处理逻辑。
Android13 系统/用户证书安装相关分析总结(二) 如何增加一个安装系统证书的接口
fighting_2017的博客
11-05 502
接着上回说,最初是为了写一个SDK的接口,需求大致是增加证书安装卸载的接口(系统、用户)。
Android 静默方式实现批量安装卸载应用程序的深入分析
09-05
本篇文章是对Android 静默方式实现批量安装卸载应用程序进行了详细的分析介绍,需要的朋友参考下
Android 应用开发中,证书、签名和加固简述》
最新发布
weijiangbc0的博客
02-28 1164
摘要:证书是开发者身份的“身份证”,签名是确保应用未被篡改的“密封章”,加固是防止代码被逆向的“保险箱”。三者结合,构成 Android 应用安全的基础防线。
如何安装安卓(Android 7.0+)CA根证书
tom的博客
03-14 1万+
写这个教程时,已经是2023年,现在最新的安卓系已经是Android 13。从Android7.0以后系统不再信任用户的证书,导致我们在使用一些网络调试工具时非常不便,为了解决这个问题,本教程将教你如何一步步操作,将用户级别的CA证书安装为系统级的CA证书
Android 14 抓包、安装系统证书
qq_35041117的博客
03-13 8906
注意这个 269953fb 名字会用在下面命令的 -out 后面,然后加上【.0】后缀。如果发现连接代理后,没有网络,WIFI显示网络受限,多半还是证书原因。⚠️ 注意:如果手机已经安装了模块,后续追加的证书可以直接放入。如果已经导出 .PEM 文件则跳过。通过上面的命令会拿到一个ID。目录下,再重启手机即可。
Android证书
weixin_30363509的博客
08-12 812
keytool-genkey-v-keystore kzoncj.keystore-alias kzoncj -keyalgRSA-validity1000 说明: -keystore app.keystore 表示生成的证书,可以加上路径(默认在用户主目录下); -alias app表示证书的别名是app; ...
Android安装系统目录证书(安卓7以上)
qq_62204036的博客
11-13 1804
刷入完成后,依次执行以下命令将9b704e12.0文件移动至用户证书目录下,即/data/misc/user/0/cacerts-added:(没有就新建目录)Android 7以上系统不再信任用户级的证书,只信任系统级的证书,所以在Android 7以上系统中,想要通过Charles、fd等中间人。来抓HTTPS包,就需要将证书安装Android系统证书目录中,而不是直接将证书文件导入Android设备进行安装。执行完毕以后重新启动,重启完毕后即可在信任的凭据中看到对应的Charles证书
android 证书验证流程分析_Android签名机制之---签名验证过程详解
weixin_35489715的博客
01-16 1129
一、前言今天是元旦,也是Single Dog的嚎叫之日,只能写博客来祛除寂寞了,今天我们继续来看一下Android中的签名机制的姊妹篇:Android中是如何验证一个Apk的签名。在前一篇文章中我们介绍了,Android中是如何对程序进行签名的,不了解的同学可以转战:当然在了解我们今天说到的知识点,这篇文章也是需要了解的,不然会有些知识点有些困惑的。二、知识摘要在我们没有开始这篇文章之前,我们回顾...
Android13 系统/用户证书安装相关分析总结(三) 增加安装系统证书的接口遇到的问题和坑
fighting_2017的博客
11-06 310
接上回说到,修改了程序,增加了接口,却不知道有没有什么问题,于是心怀忐忑等了几天。果然过了几天,应用那边的小伙伴报过来了问题。用户证书安装没有问题,系统证书(新增的接口)还是出现了问题。调用了我提供的接口安装之后settings中可以查到,但是小伙伴的demo里调用的接口不行,而且网站证书安装之后,方位对应网站依然会弹出证书不受信任的弹窗。看到这里,笔者心里想着,这可又有事情干了。
Android逆向】okhttp 证书绑定流程 ssl pinning分析
tx123hy的博客
12-31 1526
本次通过代码实现了 https 证书绑定也就是 ssl pinning。分析了 okhttp 的证书校验逻辑,其中 startHandshake 是一个hook点。在这时刻往下就是app中的证书校验逻辑。文章后半部分给出了证书校验的绕过逻辑,总体来说在 app 端的证书校验,使用 hook手段绕过。服务端的证书校验,是把 app 端的证书导入抓包工具解决,其中app端的证书定位与证书密码获取也是通过hook进行定位。文章很难面面俱到,如果有更多想要交流的可以来深入探讨一下哈 lvdouzhou_。
Android(安卓系统)导入证书
01-05
解决了Android导入私有证书,CA证书的问题,让悲剧不再是悲剧
Android应用源码之CertInstaller.zip
12-17
源码参考,欢迎下载
安卓12(高版本9+以上)安装Charles证书到系统证书安装目录
云霄IT的博客
06-19 9359
(3) 下载并安装magisk的adguardcert模块。(1) 安卓手机开启root并安装Magisk。(2) 先安装Chalers证书到用户目录。(5) 重启手机,即可在系统证书目录搜索到。(4) 把刚刚安装到用户目录的证书
android 安装系统证书
bncmjnmlp的博客
04-07 7169
场景:Android8.0及以上需要安装系统证书才能正常抓包 安装系统证书需要root 需要root 需要root 以burpsuit为例 首先导出证书 转化证书格式为pem openssl x509 -inform DER -in xxx.cer -out cacert.pem 计算证书hash并改名 openssl x509 -inform PEM -subject_hash_old -in cacert.pem 或 openssl x509 -infor
android证书制作
小刚的专栏
09-03 9687
1. 制作Andriod程序的数字签名需要使用JDK,先确认本机是否安装了JDK,在JDK目录下有一个KEYTOOL工具,这个就是制作数字签名使用到的工具; 2.打开KEYTOOL,在运行中输入cmd,使用cd命令将路径切换至keytool所在目录,然后做如下操作: 输入命令:keytool -genkey -v -keystore kzoncj.keystor
Android平台签名证书(.keystore)生成指南
weixin_30619101的博客
06-27 1802
来源:https://ask.dcloud.net.cn/article/35777 Android平台签名证书(.keystore)生成指南 分类:HTML5+ Android证书 Android平台打包发布apk应用,需要使用数字证书(.keystore文件)进行签名,用于表明开发者身份,可以使用JRE环境中的keytool命令生成。以下是windows平台生成证书的方...
Android手机证书安装
热门推荐
飞楼踏梦
04-05 3万+
我手机是小米手机,之前把系统全部清理了一遍,可能把浏览器中之前安装证书被删掉,导致后来连fiddle后,始终访问不到对应的代理服务机器,然后fiddler中的log一直显示证书问题(如果不确定是fiddler的问题,还是自己手机的问题,可以换一部android手机试试,当时我一直以为是fiddler的问题,后来借了一部同事的手机,发现他的手机可以访问代理服务器,这才确定是自己手机的问题)
安卓手机安装CA证书并抓包获取手机数据和xshell远程连接服务器并查看日志
a172016692的博客
01-10 1万+
一、android手机安装证书并抓包获取手机数据 前提:打开可抓取HTTPS的fiddler 1、连接可使用的WiFi,修改网络 2、手动代理,填写电脑Ip地址 3、手机设置好代理后,打开手机浏览器,在地址栏输入ip:端口号,即步骤2中所设置的ip和端口号,如192.168.1.1:888,前往搜索 4、点击搜索页面中的“FiddlerRoot certificate”,即可下载该证书 5、安装证书,以荣耀magic3为例 6、证书安装成功后,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值