Almacén de claves de Android
Mientras el mundo se ve empujado -o forzado- a digitalizar todos los procesos, flujos de trabajo y funciones empresariales, las lecciones de los primeros días de Internet pueden ser un indicador del éxito. Aprenda cómo la confianza digital puede hacer o romper su estrategia y cómo la solución equivocada puede estar preparando a su organización para el fracaso en menos de tres años.
Mientras el mundo se ve empujado -o forzado- a digitalizar todos los procesos, flujos de trabajo y funciones empresariales, las lecciones de los primeros días de Internet pueden ser un indicador de éxito. Aprenda cómo la confianza digital puede hacer o romper su estrategia y cómo la solución equivocada puede estar preparando a su organización para el fracaso en menos de tres años.
Al igual que otras plataformas como Windows y macOS, Android mantiene un almacén raíz del sistema que se utiliza para determinar si un certificado emitido por una autoridad de certificación (CA) concreta es de confianza. Como desarrollador, es posible que desee saber qué certificados son de confianza en Android para la compatibilidad, las pruebas y la seguridad del dispositivo.
Firmar apk en línea
Si usas algún otro stack http, es cosa tuya comprobar si se aplica lo mismo o cómo hacerlo si no funciona. No estoy proporcionando ningún soporte para este código, úsalo bajo tu propio riesgo. Está destinado a ser sólo una ayuda de mano corta para cuando usted está desarrollando mediante el uso de certificados autofirmados.
Su(s) aplicación(es) listada(s) al final de este correo electrónico utiliza(n) una implementación insegura de la interfaz X509TrustManager. En concreto, la implementación ignora todos los errores de validación de certificados SSL al establecer una conexión HTTPS con un host remoto, lo que hace que su aplicación sea vulnerable a los ataques man-in-the-middle. Un atacante podría leer los datos transmitidos (como las credenciales de acceso) e incluso cambiar los datos transmitidos en la conexión HTTPS. Si tiene más de 20 aplicaciones afectadas en su cuenta, consulte la Consola de desarrolladores para obtener una lista completa.
Keytool genera un almacén de claves
Estoy intentando realizar conexiones HTTPS, utilizando la librería HttpClient, pero el problema es que, dado que el certificado no está firmado por una Autoridad de Certificación (CA) reconocida como Verisign,GlobalSIgn, etc., listada en el conjunto de Certificados de Confianza de Android, sigo obteniendo javax.net.ssl.SSLException: No es un certificado de servidor de confianza.
Tienes que obtener todos los certificados que construyen una cadena desde el certificado del punto final hasta la CA raíz. Esto significa, cualquier (si está presente) certificado de la CA intermedia y también el certificado de la CA raíz. No es necesario obtener el certificado del punto final.
No lo he probado, pero creo que el orden de importación de los certificados es importante. Es decir, importar primero el certificado de la CA intermedia más baja y luego todo el camino hasta el certificado de la CA raíz.
Con el siguiente comando se creará un nuevo keystore (si no está ya presente) con la contraseña mysecret y se importará el certificado de la CA Intermedia. También he definido el proveedor BouncyCastle, dónde se encuentra en mi sistema de archivos y el formato del keystore. Ejecute este comando para cada certificado de la cadena.
Crear un almacén de claves para Android
El APK Signer firma aplicaciones Android en el formato Android Package Kit (APK) y admite los siguientes esquemas de firma de aplicaciones Android: El esquema de firma APK v3 introduce el linaje de firma para admitir la rotación de claves APK. La rotación de claves permite cambiar el certificado de firma cuando se publica una versión más reciente de una aplicación Android. Así, si la versión inicial de una aplicación androide se firmó con una clave determinada, ahora es posible cambiar a una clave diferente si es necesario. Las razones para cambiar la clave podrían ser la reestructuración organizativa o la reorganización de sus almacenes de claves, por ejemplo. El linaje del certificado se proporciona en un archivo de linaje, creado y actualizado opcionalmente mediante los firmantes adicionales APK Rotate Signer y APK Lineage Signer. Tenga en cuenta que se recomienda el nuevo APK Signer de SignServer en lugar de utilizar el anterior JArchive Signer, que sólo admite firmas de la versión 1. Las siguientes secciones describen cómo configurar el APK Signer. Para obtener información sobre el uso opcional de los firmantes adicionales APK Rotate Signer y APK Lineage Signer para utilizar la renovación de la clave, consulte Renovación de una nueva clave.Para el hash del lado del cliente, siga las instrucciones siguientes pero utilice el APK Hash Signer (en el paso 1) y envíe las solicitudes utilizando SignClient con el indicador -clientside (en el paso 3). Requisito previo: Crypto Worker configuradoAl igual que con todos los firmantes, antes de configurar los firmantes del APK debe haber un crypto worker, por ejemplo, que utilice un almacén de claves de software o PKCS#11.
