Инструменты страницы

Добавление собственного сертификата для всего приложения на Android (Network Security Configuration)

Архив для скачивания: v2certificates_android.zip

Важно! Для корректной работы необходимо использовать исключительно WebViewClient, альтернативные методы взаимодействия с веб-интерфейсами не имеют нужного функционала.

Начиная с версии Android 24 (N) в системе исключена возможность доверять сайтам по умолчанию. В связи с этим появилась возможность добавлять собственные сертификаты через конфигурационные файлы.

Более подробно:

1) https://android-developers.googleblog.com/2016/07/changes-to-trusted-certificate.html

2) https://developer.android.com/training/articles/security-config

Пример загрузки страницы в WebView без и с добавлением сертификата

Рассмотрим добавление сертификата на простом приложении с WebView. В качестве тестового домена был выбран URL:

https://3dsec.sberbank.ru/payment/webservices/merchant-ws?wsdl.

Если попытаться загрузить страницу через WebView без добавления сертификата, то в методе onReceivedSslError класса WebViewClient вернется ошибка SSL_UNTRUSTED (1).

1) Для успешной загрузки страницы, необходимо выполнить следующие шаги для добавления сертификата.

A) В AndroidManifest добавить следующую строчку (доступна с версии API 24,N). 

<application
        android:networkSecurityConfig="@xml/network_security_config"/>
 
<uses-permission android:name="android.permission.INTERNET" />

……..

B) Создать каталог raw с файлом сертификата (сертификат должен быть в РЕМ формате).

C) Далее необходимо создать файл network_security_config.xml в директории xml.

Содержимое файла приведено ниже. 

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">3dsec.sberbank.ru</domain>
        <trust-anchors>
            <certificates src="@raw/root"/>
        </trust-anchors>
    </domain-config>
</network-security-config>

Вы можете убрать опцию domain, и тогда сертификат будет работать для любых доменов на уровне всего приложения.

Если хотим оставить как в примере выше, то убедитесь, что для промышленной сборки, будет добавлен домен: https://securepayments.sberbank.ru.

D) После запуска приложения страница загрузится в WebView без ошибки SSL_UNTRUSTED.

P.S. Корневой сертификат Минцифр из примера был скачан с сайта (Сертификат для Android): https://www.gosuslugi.ru/cr

Альтернативный способ работы с сертификатом МЦ

Также возможен вариант с ручной проверкой сертификатов при первой попытке загрузки страницы в WebView. Для этого необходимо:

1) Подготовить TrustManager.

private fun fromInputStream(caInput: InputStream): TrustManagerFactory {
    val cf: CertificateFactory = CertificateFactory.getInstance("X.509")
    val ca = caInput.use { cf.generateCertificate(it) }
    val keyStore: KeyStore = KeyStore.getInstance(KeyStore.getDefaultType()).apply {
        load(null, null)
        setCertificateEntry("ca", ca)
    }
    val tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm()
    val tmf = TrustManagerFactory.getInstance(tmfAlgorithm)
    tmf.init(keyStore)
    return  tmf
}

2) Реализовать собственный WebViewClient с предопределенным методом onReceivedSslError. 

override fun onReceivedSslError(view: WebView, handler: SslErrorHandler, error: SslError) {
    Log.d("WEB_VIEW_EXAMPLE", "onReceivedSslError")
    var passVerify = false
    if (error.primaryError == SslError.SSL_UNTRUSTED) {
        val cert = error.certificate
        val subjectDN = cert.issuedTo.dName
        Log.d("WEB_VIEW_EXAMPLE", "subjectDN: $subjectDN")
        try {
            val f: Field = cert.javaClass.getDeclaredField("mX509Certificate")
            f.setAccessible(true)
            val x509 = f.get(cert) as X509Certificate
            val chain = arrayOf(x509)
            for (trustManager in tmf.getTrustManagers()) {
                if (trustManager is X509TrustManager) {
                    val x509TrustManager: X509TrustManager = trustManager as X509TrustManager
                    try {
                        x509TrustManager.checkServerTrusted(chain, "generic")
                        passVerify = true
                        break
                    } catch (e: Exception) {
                        Log.e("WEB_VIEW_EXAMPLE", "verify trustManager failed", e)
                        passVerify = false
                    }
                }
            }
            Log.d("WEB_VIEW_EXAMPLE", "passVerify: $passVerify")
        } catch (e: Exception) {
            Log.e("WEB_VIEW_EXAMPLE", "verify cert fail", e)
        }
    }
    if (passVerify == true) handler.proceed() else handler.cancel()
}

Пример можно посмотреть во вложении.