Від StackOverflow: Як встановити довірений сертифікат CA на пристрої Android?
Я витратив багато часу, намагаючись знайти відповідь на це (мені потрібен Android, щоб побачити сертифікати StartSSL). Висновок: Android 2.1 та 2.2 дозволяють імпортувати сертифікати, але лише для використання з WiFi та VPN. Немає користувальницького інтерфейсу для оновлення списку надійних кореневих сертифікатів, але обговорюється питання щодо додавання цієї функції. Незрозуміло, чи існує надійний спосіб вирішення вручну оновлення та заміни файлу cacerts.bks.
Деталі та посилання: http://www.mcbsys.com/techblog/2010/12/android-certificate/ . У цій публікації дивіться посилання на помилку Android 11231 - ви можете додати свій голос і запит до цієї помилки.
11231 було закрито в листопаді 2011 року, і статус був випущений для Android 4.0 ICS.
Ось нотатки, пов’язані зі статусом випуску :
ICS робить більшість, якщо не всі пункти цього випуску. Якщо я щось пропустив, я відкрию більш конкретні питання, щоб усунути прогалини.
Деякі деталі нижче, я планую більш офіційне повідомлення в блозі пізніше. У Android 4.0 SDK слід побачити наступне, якщо ви хочете випробувати їх та дати відгук.
Зміни в налаштуваннях:
- Системні сертифікати (CA) тепер видимі в Налаштуваннях> Безпека> Довірені облікові дані.
- системні ЦО тепер можна відключити та відновити
- користувачі можуть встановлювати власні ЦО з Налаштування> Захист (а також з інших механізмів, таких як браузер або відкриття з вкладення електронної пошти.
- ЦО користувачів можна переглядати та видаляти в Налаштуваннях> Безпека> Довірені облікові дані
- замість окремого 8-символьного PIN-коду для зберігання облікових даних тепер доступ контролюється через заблокований екран
Новий API KeyChain
- KeyChain.createInstallIntent дозволяє програмам запитувати встановлення облікових даних, в основному оприлюднюючи інтерфейс, який використовує "Налаштування" для запиту встановлення. користувачі повинні підтвердити запити встановлення, як і раніше.
- KeyChain.choosePrivateKeyAlias / getPrivateKey / getCertificateChain дозволяє програмам запитувати приватні ключі та пов'язані з ними сертифікати для використання програми. загальним випадком використання буде автентифікація сертифікату клієнта за допомогою https.
Електронна пошта
- Тепер електронна пошта використовує API KeyChain, щоб дозволити автентифікацію сертифікату клієнта для облікових записів Exchange
Веб-переглядач
- Тепер браузер використовуватиме KeyChain для запиту клієнтського сертифіката, коли сервер вимагає підтвердження автентифікації.
У березні 2014 року було створено запит на удосконалення Дозволити користувачам встановлювати власні сертифікати ЦА .
Багато користувачів (включаючи компанії) використовують самопідписані сертифікати для SSL / TLS, або тому, що вони не хочуть платити за це, або тому, що вони просто не довіряють іншим компаніям і хочуть це робити самі (насправді, немає причин купуйте сертифікат, коли не потрібно, щоб анонімні користувачі Інтернету довіряли вашому серверу).
На даний момент можливо встановити спеціальний сертифікат CA в Android, але він виявляється як "сертифікат користувача", який, здається, призначений для клієнтських сертифікатів. Як результат, ці серти відображаються як «сертифікати користувачів» у графічному інтерфейсі, а оскільки на Android 4.4, впроваджено жахливу «Мережу моніторингу».