证书固定、CertificatePinner与Charles抓包的问题

证书固定

前段时间为我们的代码中增加了证书固定的代码，用来防止APP的网络请求被抓包。

方法如下：
1、使用openssl，获取我们自己CA证书的公钥

openssl s_client -connect mydomain.com:443 -servername mydomain.com | openssl x509 -pubkey -noout | openssl rsa -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64

2、因为网络库使用的OkHttp+Retrofit，所以代码中增加了如下内容

    private static final String CA_DOMAIN = "*.mydomain.com";
    private static final String CA_PUBLIC_KEY = "sha256/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";

    .....

    CertificatePinner pinner = new CertificatePinner.Builder()
                .add(CA_DOMAIN, CA_PUBLIC_KEY)
                .build();

    .....
    
    OkHttpClient.Builder clientBuilder = new OkHttpClient.Builder()
            .certificatePinner(pinner);

这样，就可以一定程度上保护我们的代码不被抓包。

抓包调试

随之而来的又是另外一个问题，在使用证书固定的同时，我们自己也将无法对我们的代码抓包来进行调试，本来想通过开一些特殊的口子来关闭CertificatePinner，进而来绕过我们自己的限制，但是这样会增加风险。

那该怎么办呢？

其实只要在原本证书之外，再多信任一个我们自己内部使用的Charles的证书就可以了。

方法如下：

（我们使用的Charles版本是v4.0）

1、Charles菜单中选择Help > SSLProxying > View Generated SSL Certificates Keystore Password，将显示的密码记下来。这个是在每个Charles安装的时候自动生成的，和你本机的Charles Root Certificates相对应。

2、Charles菜单中选择Help > SSLProxying > Export Charles Root Certificate and Private Key...，然后输入刚才的密码，将生成的p12文件保存好。

3、Charles菜单中选择Help > SSLProxying > Save Charles Root Certificate...，将pem文件保存下来

4、使用openssl，从刚才的pem文件中获取公钥

openssl x509 -pubkey -noout -in charles-ssl-proxying-certificate.pem  | openssl rsa -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64

5、依照上面证书固定的代码，增加一个PUBLIC_KEY

    CertificatePinner pinner = new CertificatePinner.Builder()
                .add(CA_DOMAIN, CA_PUBLIC_KEY)
                .add(CA_DOMAIN, CA_PUBLIC_KEY_2)
                .build();

6、将刚才的pem文件安装到手机上，一般在 系统设置 > 安全 的菜单中，从SD卡安装刚才的pem文件，并且配置好抓包的代理。（这个和一般的Charles抓包配置一样）

7、（在需要抓包的电脑上）Charles菜单中选择proxy > SSL Proxy Settings...，选择Root Certificate，然后选择Choose，选择之前保存的p12文件，这个时候会让你输入之前的密码。

8、（在需要抓包的电脑上）重启Charles

这样就完成了所有的配置，之后只要保存好对应的p12文件（包含私钥公钥）、pem文件（包含公钥）和密码，就可以让需要调试的小伙伴来进行抓包了。

关于Android7.0+

Android7.0及以上除了要完成上述的操作以外，还需要额外的在代码中进行网络安全性配置，这里就不多说了，官网上都有，很详细。可以看这里：https://developer.android.com/training/articles/security-config.html?hl=zh-cn#CustomTrust

注意，charles的那个pem，以及原本api请求所需要的pem都要放到raw里面

可以使用下面的命令获取

openssl s_client -connect mydomain.com:443 -servername mydomain.com | openssl x509 -out test.pem

如果进行了网络安全性配置，那么之前第6步中，pem后缀的那个CA证书，就不用手动安装到手机上了（因为apk中自带了）

参考链接

https://developer.android.com/training/articles/security-config.html?hl=zh-cn#CustomTrust
https://www.cnblogs.com/eshizhan/archive/2012/10/07/2713557.html
http://www.cnblogs.com/guogangj/p/4118605.html