2017-10-09 2305
添加安全配置文件
网络安全性配置特性使用一个 XML 文件,您可以在该文件中指定应用的设置。您必须在应用的清单中包含一个条目以指向该文件。以下代码摘自一份清单,演示了如何创建此条目:
自定义可信 CA
应用可能需要信任自定义的 CA 集,而不是平台默认值。出现此情况的最常见原因包括:
默认情况下,来自所有应用的安全连接(使用 TLS 和 HTTPS 之类的协议)均信任预装的系统 CA,而面向 Android 6.0(API 级别 23)及更低版本的应用默认情况下还会信任用户添加的 CA 存储。应用可以使用 base-config(应用范围的自定义)或 domain-config(按域自定义)自定义自己的连接。
配置自定义 CA
假设您要连接到使用自签署 SSL 证书的主机,或者连接到其 SSL 证书是由您信任的非公共 CA(如公司的内部 CA)签发的主机。
res/xml/network_security_config.xml:
以 PEM 或 DER 格式将自签署或非公共 CA 证书添加到 res/raw/my_ca。
限制可信 CA 集
如果应用不想信任系统信任的所有 CA,则可以自行指定,缩减要信任的 CA 集。这样可以防止应用信任任何其他 CA 签发的欺诈性证书。
限制可信 CA 集的配置与针对特定域信任自定义 CA 相似,不同的是,前者要在资源中提供多个 CA。
以 PEM 或 DER 格式将可信 CA 添加到 res/raw/trusted_roots。请注意,如果使用 PEM 格式,文件必须仅包含 PEM 数据,且没有额外的文本。您还可以提供多个 <certificates> 元素,而不是只提供一个元素。
信任附加 CA
应用可能需要信任系统不信任的附加 CA,出现此情况的原因可能是系统还未包含此 CA,或 CA 不符合添加到 Android 系统中的要求。应用可以通过为一个配置指定多个证书源来实现此目的。
配置用于调试的 CA
调试通过 HTTPS 连接的应用时,您可能需要连接到没有为生产服务器提供 SSL 证书的本地开发服务器。为了支持此操作,而又不对应用的代码进行任何修改,您可以通过使用 debug-overrides 指定仅在 android:debuggable 为 true 时才可信的仅调试 CA。通常,IDE 和构建工具会自动为非发布版本设置此标记。
这比一般的条件代码更安全,因为出于安全考虑,应用存储不接受被标记为可调试的应用。
选择退出明文通信
旨在连接到仅使用安全连接的目的地的应用可以选择不再对这些目的地提供明文(使用解密的 HTTP 协议而非 HTTPS)支持。此选项有助于防止应用因外部源(如后端服务器)提供的网址发生变化而意外回归。请参阅 NetworkSecurityPolicy.isCleartextTrafficPermitted(),了解更多详情。
例如,应用可能需要确保与 secure.example.com 的所有连接始终通过 HTTPS 完成,以防止来自恶意网络的敏感流量。
固定证书
一般情况下,应用信任所有预装 CA。如果有预装 CA 签发欺诈性证书,则应用将面临被中间人攻击的风险。有些应用通过限制信任的 CA 集或通过证书固定来选择限制其接受的证书集。
通过按公钥的哈希值(X.509 证书的 SubjectPublicKeyInfo)提供证书集完成证书固定。然后,只有至少包含一个已固定的公钥时,证书链才有效。
请注意,使用证书固定时,您应始终包含一个备份密钥,这样,当您被强制切换到新密钥或更改 CA 时(固定到某个 CA 证书或该 CA 的中间证书时),您应用的连接性不会受到影响。否则,您必须推送应用的更新以恢复连接性。
此外,可以设置固定的到期时间,在该时间之后不执行证书固定。这有助于防止尚未更新的应用出现连接性问题。不过,设置固定的到期时间可能会绕过证书固定。
配置继承行为
将继承未在特定配置中设置的值。此行为允许进行更复杂的配置,同时又能保证配置文件可读。
如果未在特定条目中设置值,将使用来自更通用条目中的值。例如,未在 domain-config 中设置的值将从父级 domain-config(如果已嵌套)或者 base-config(如果未嵌套)中获取。未在 base-config 中设置的值将使用平台默认值。
例如,到 example.com 的子域的所有连接都必须使用自定义 CA 集。此外,允许使用这些域的明文通信,连接到 secure.example.com 时除外。通过在 example.com 的配置中嵌套 secure.example.com 的配置,不需要重复 trust-anchors。
配置文件格式
网络安全性配置特性使用 XML 文件格式。文件的整体结构如以下代码示例所示:
以下部分将介绍语法与文件格式的其他详细信息。
<network-security-config>
<base-config>
<trust-anchors>
目的地不在 domain-config 涵盖范围内的所有连接所使用的默认配置。未设置的任何值均使用平台默认值。面向 Android 7.0(API 级别 24)及更高版本应用的默认配置如下所示:
面向 Android 6.0(API 级别 23)及更低版本应用的默认配置如下所示:
<domain-config>
用于按照 domain 元素的定义连接到特定目的地的配置。请注意,如果有多个 domain-config 元素涵盖某个目的地,将使用匹配域规则最具体(最长)的配置。
<domain>
<debug-overrides>
在 android:debuggable 为 "true" 时将应用的重写,IDE 和构建工具生成的非发布版本通常属于此情况。在 debug-overrides 中指定的信任锚将添加到所有其他配置,并且当服务器的证书链使用其中一个仅调试信任锚时,将不执行证书固定。如果 android:debuggable 为 "false",将完全忽略此部分。
任意数量的 <certificates>
用于安全连接的信任锚集。
<certificates>
用于 trust-anchors 元素的 X.509 证书集。
<pin-set>
任意数量的 <pin>
一组公钥固定。对于要信任的安全连接,信任链中必须有一个公钥位于固定集中。有关固定格式,请参阅 <pin>。
<pin>
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。