Page 1 of 5
[BY:loudewu@163.com]
Android系统导入私有根证书 CA证书
1. 概述
本文档意在解决 Android系统导入私有根证书 CA证书的问题。但 Android系统作为一款开源
的系统,使用 Android 的系统的手机各种各样,所以本文档不保证对所有的安装 Android 系统的
设备有效,尤其一些定制机,建议使用公用证书。
2. 背景
使用了 AG进行安全问,在装有 Android系统的设备中的使用 Citrix Receiver是必须先导入自签
的根证书,不导入或者证书不对是会出现下图的错去提示信息,如下图所示。
3. 原理
Android系统中 CA证书文件存放在:/system/etc/security/cacerts.bks
【注意】Android 2.2官方系统中是没有 CNNIC SSL这个证书的,这是因为中国网络环境原
因而没有内置的。如果是你是使用国行版的 Android手机,可访问 https://www.enum.cn 检查
是否内置了 CNNIC 的 CA,如果有的话,你可以使用原版 cacerts.bks,这个文件所有 android
系统通用。
所以获取Android系统ROOT权限后,首先获得 cacert.bks文件到PC中,然后把证书到 cacerts.bks
文件中,最后将修改过的 cacerts.bks传至手机。重启手机就 OK了。
4. 手机环境准备
手机:要求获取 ROOT权限
Page 2 of 5
[BY:loudewu@163.com]
5. PC环境准备
软件:
Java 1.6,adb.exe和 AdbWinApi.dll(见压缩包内,也可在百度搜索下载)。
bcprov-jdk16-146(加密算法支持包,详见 http://www.bouncycastle.org/latest_releases.html)
下载地址:http://www.bouncycastle.org/download/bcprov-jdk16-146.jar
PC环境:
安 装 Java1.6 环 境 , 把 bcprov-jdk16-146 拷 贝 到 Java 安 装 目 录 下 的 /lib/ext
($JAVA_HOME/jre/lib/ext/)
目录
工贸企业有限空间作业目录特种设备作业人员作业种类与目录特种设备作业人员目录1类医疗器械目录高值医用耗材参考目录
中。
把 adb.exe和 AdbWinApi.dll放在同一文件中,可以放到任意目录中,但为下面的操作方面建
议直接放在根目录。
【adb.exe
说明
关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书
】
ADB全称 Android Debug Bridge, 是 android sdk里的一个工具,用这个工具可以直接操作
管理 android模拟器或者真实的 andriod设备(如 G1手机)。
adb.exe的主要功能有:
* 运行设备的 shell(命令行)
* 管理模拟器或设备的端口映射
* 计算机和设备之间上传/下载文件
* 将本地 apk软件安装至模拟器或 android设备
ADB 是一个 客户端-服务器端 程序,其中客户端是你用来操作的电脑, 服务器端是
android设备。
先说安装方法,电脑上需要安装客户端. 客户端包含在 sdk里。设备上不需要安装, 只需
要在手机上打开选项 settings-applications-development-USB debugging。
对于 Mac 和 Linux 用户,下载好的 sdk 解压后,可以放~或者任意目录。然后修改
~/.bash_profile文件,设置运行环境指向 sdk的 tools目录。
具体是打开~/.bash_profile 文件(如果没有此文件也可以自行添加),在里面加入一行:
export PATH=${PATH}:<你的 sdk目录>/tools,然后就可以使用 adb命令了。
嫌安装麻烦的同学其实也可以省去上面安装步骤,直接输入完整路径来使用命令。
对于 windows xp用户,需要先安装 usb驱动 android_usb_windows.zip,然后如果你只打算使
用 adb而不想下载整个 sdk的话,可以下载这个单独的 adb工具包 adb_win.zip 下载后解压,
把里面 adb.exe 和 AdbWinApi.dll 两个文件放到系统盘的 windows/system32 文件夹里就可以
了。
6. 导入证书的步骤
6.1 把获取了 ROOT权限手机通过 USB数据线连在准备好环境的 PC上
6.2 进入控制台
单击“开始”-“运行”输出 cmd命令打开控制台,Win Vista,Win7,Windows Server 2008,单击“开
始”在搜索框中输入 cmd打开控制台
6.3 使用命令进入 adb.exe和 AdbWinApi.dll文件夹(cd命令,此处不做说明,详细可百度查询)
eg:
D: 进入 D盘
cd android 进入 android文件夹
6.4 获取 cacerts.bks文件到你的计算机中 adb.exe和 AdbWinApi.dll所在文件夹
>adb pull /system/etc/security/cacerts.bks cacerts.bks
【注意】出现 error: device not found提示,请重新把手机连接到 PC上
6.5 将取得的 cacerts.bks与你要添加的 CA证书放在同一级目录(CA证书为 crt、cer或 cert格式)
6.6 将证书导入到 cacerts.bks文件中
Page 3 of 5
[BY:loudewu@163.com]
>keytool -keystore cacerts.bks -storetype BKS –provider
org.bouncycastle.jce.provider.BouncyCastleProvider -storepass changeit -importcert -trustcacerts -alias
存放别名 -file 要导入的根证书.crt
【注意】以上命令中的“存放别名”,cacerts.bks文件是以数字为存放别名的,你可自定义数
字或字母,中间不得有空格,前提是不得与 cacert.bks原有的 CA别名有重复。
原版 android 2.2系统的 caerts.bks文件中存放有 56个证书,你可以以 57开始。为保证不
重名建议可以从 200开始。
要导入的根证书.crt -->>为要添加的 CA证书文件名。
回车后会有提示,确认后会添加成功。
6.7 将修改过的 cacerts.bks传至手机
6.7.1 取得 /system 目录的写入权限
>adb shell mount -o remount,rw /system
6.7.2 上传 cacerts.bks
>adb push cacerts.bks /system/etc/security/
6.7.3 恢复 /system 目录的只读权限
>adb shell mount -o remount,ro /system
6.8 重启手机后生效
6.9 压缩包中的批处理文件说明
cacert.bat:获取 cacert.bks文件
incacert.bat:把证书导入 cacert.bks文件
inm.bat:把修改后的 cacert.bks上传回手机
7. 以下是使用 Android SDK方法,不做说明
Procedure
1. To import the private root certificate into the existing root certificate store, you must first pull the
root certificate store from the Android's device filesystem:
C:\dev\android-sdk-windows\tools> adb pull /system/etc/security/cacerts.bks cacerts.bks
76 KB/s (61391 bytes in 0.787s)
2. To import the private root certificate, addtional java classes are needed to manipulate the keystore.
Download the following java archive and copy it to your
$JAVA_HOME/jre/lib/ext/
http://www.bouncycastle.org/download/bcprov-jdk16-145.jar
3. Using the keytool utility included with the JRE installed on the workstation, use the following
command to import the certificate into the existing certificate store:
C:\Program Files\Java\jre6\bin>keytool.exe -keystore c:\cacerts.bks -storetype BKS
-provider org.bouncycastle.jce.provider.BouncyCastleProvider -storepass changeit -importcert –
trustcacerts -alias DJ_ROOT -file
:\\.cer
SAMPLE OUTPUT: Owner: CN=ftlr-davidji-dc, DC=dj, DC=ctx
Issuer: CN=ftlr-davidji-dc, DC=dj, DC=ctx
Note: Because of the variety of Android mobile devices and vendor implementations of the
Android operating system, we are not able to guarantee that the instructions offered in this article will
work on every Android mobile device.
Warning: Modifying your Android mobile device to gain root access to system files (know as
rooting) is an advanced technique and might present certain risks such as potentialbreach of mobile
carrier contract, as well as loss of device functionality if the rooting process is not performed correctly.
This article presumes you are aware of these risks and thatyou have made root access available on your
device at your own discretion and further that you accept full responsibility for any potential loss of
Page 4 of 5
[BY:loudewu@163.com]
service, warranty, or functionality of your Android mobile device. A plethora of information is available
on the Web for gaining root access on your Android device.
K N O W L E D G E C E N T E R
Alerts Sign in
Knowledge Center Communities Support Forums Blogs
Serial number: 374b4ca4ad295cbe471e2c187268d8b7
Valid from: Fri Jul 11 11:34:39 EDT 2008 until: Wed Jul 11 11:43:03 EDT 2018
Certificate fingerprints:
MD5: 3A:4E:42:DE:CA:6F:2B:2A:98:18:C2:C9:91:CC:8F:C8
SHA1: 63:DF:2B:8F:3F:91:6D:CC:71:11:76:38:63:31:D1:4B:A1:2A:BF:C7
Signature algorithm name: SHA1withRSA
Version: 3
Extensions:
#1: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:true
PathLen:2147483647
]
#2: ObjectId: 2.5.29.15 Criticality=false
KeyUsage [
DigitalSignature
Key_CertSign
Crl_Sign
]
#3: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: F6 97 15 87 D2 F5 D2 F8 B9 B6 B5 AC 48 5A 92 AB ............HZ..
0010: 15 70 92 34 .p.4
]
]
#4: ObjectId: 1.3.6.1.4.1.311.21.1 Criticality=false
#5: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
[DistributionPoint:
[URIName:
ldap:///CN=ftlr-davidji-dc,CN=ftlr-davidji-dc,CN=CDP,CN=Public%20Key%20Services,CN=Se
rvices,CN=Configuration,DC=dj,DC=ctx?certificateRevocationList?base?objectClass=cRLDistribution
Point
, URIName: http://ftlr-davidji-dc.dj.ctx/CertEnroll/ftlr-davidji-dc.crl]
]]
Trust this certificate? [no]: yes
Certificate was added to keystore
C:\Program Files\Java\jre6\bin>
4. Because the /system filsystem is mounted as read-only, you must remount it as read-write. You can
use one of the following methods to accomplish this:
Page 5 of 5
[BY:loudewu@163.com]
a. If you have "su" access, you can manually remount the /system partition as rw:
C:\dev\android-sdk-windows\tools>adb shell
# su
# mount -o rw,remount -t yaffs2 /dev/block/mtdblock3 /system
# exit
# exit
b. Or, if your device allows it, use the "adb remount" command:
C:\dev\android-sdk-windows\tools>adb remount
remount succeeded
5. After the /system filesystem is mounted with read-write access, you can push the new certificate
store and replace the old one:
C:\dev\android-sdk-windows\tools> adb push c:\cacerts.bks /system/etc/security
834 KB/s (62574 bytes in 0.073s)
After importing the certificate and launching the published application, no warnings or errors appear:
Android系统导入私有根证书CA证书
1. 概述
2. 背景
3. 原理
4. 手机环境准备
5. PC环境准备
6. 导入证书的步骤
6.1 把获取了ROOT权限手机通过USB数据线连在准备好环境的PC上
6.2 进入控制台
6.3 使用命令进入adb.exe和AdbWinApi.dll文件夹(cd命令,此处不做说明,详细可百度查询)
6.4 获取cacerts.bks文件到你的计算机中adb.exe和AdbWinApi.dll所在文件夹
6.5 将取得的cacerts.bks与你要添加的CA证书放在同一级目录(CA证书为crt、cer或cert格式)
6.6 将证书导入到cacerts.bks文件中
6.7 将修改过的cacerts.bks传至手机
6.7.1 取得 /system 目录的写入权限
6.7.2 上传cacerts.bks
6.7.3 恢复 /system 目录的只读权限
6.8 重启手机后生效
6.9 压缩包中的批处理文件说明
7. 以下是使用Android SDK方法,不做说明
浙公网安备 33021202002483