Android SSLSocket#getInputstream() 在早期版本的 Android 6.0 上抛出 HandshakeException答案

【问题标题】：Android SSLSocket#getInputstream() throws HandshakeException on earlier versions of Android 6.0Android SSLSocket#getInputstream() 在早期版本的 Android 6.0 上抛出 HandshakeException
【发布时间】：2017-04-06 16:25:21
【问题描述】：

在我的应用程序中，我需要处理 SSLSocket。我有这段代码在 Android6.0 及更高版本上运行，当我在 Android 5.+ 上运行相同的代码时，我得到了 HandshakeException

private void openSSLSocket(String mHost, int mPort){
    try {
        SocketFactory sf = SSLSocketFactory.getDefault();
        mSocket = (SSLSocket) sf.createSocket(mHost, mPort);
        mSocket.setEnabledProtocols(new String[]{"TLSv1"});
        mInputStream = mSocket.getInputStream();
        mOutputStream = mSocket.getOutputStream();

        mSocket.setSoTimeout(0);

    }catch (Exception e){
        e.printStackTrace();
    }
}

我已阅读 android 开发者网站上的 this 文章并实现了以下代码，我得到了服务器管理员的 .crt 文件

private void openSSLSocketWithCA(String mHost, int mPort) {
    try{

        // Load CAs from an InputStream
        // (could be from a resource or ByteArrayInputStream or ...)
        CertificateFactory cf = CertificateFactory.getInstance("X.509");
        // From https://www.washington.edu/itconnect/security/ca/load-der.crt

        InputStream caInput = am.open("star_******_chained.crt");

        Certificate ca;
        try {
            ca = cf.generateCertificate(caInput);
            System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
        } finally {
            caInput.close();
        }

        // Create a KeyStore containing our trusted CAs
        String keyStoreType = KeyStore.getDefaultType();
        KeyStore keyStore = KeyStore.getInstance(keyStoreType);
        keyStore.load(null, null);
        keyStore.setCertificateEntry("ca", ca);

        // Create a TrustManager that trusts the CAs in our KeyStore
        String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
        tmf.init(keyStore);

        // Create an SSLContext that uses our TrustManager
        SSLContext context = SSLContext.getInstance("TLS");
        context.init(null, tmf.getTrustManagers(), null);

        SSLSocketFactory sf = context.getSocketFactory();
        mSocket = (SSLSocket) sf.createSocket(mHost, mPort);
        mSocket.setEnabledProtocols(new String[]{"TLSv1"});
        mInputStream = mSocket.getInputStream();
        mOutputStream = mSocket.getOutputStream();

        mSocket.setSoTimeout(0);
    }catch (Exception e){
        e.printStackTrace();
    }
}

即使这样，我在调用 mSocket.getInputStream(); 时也会收到 HandshakeException；方法

这是日志

W/System.err: javax.net.ssl.SSLHandshakeException: Handshake failed
W/System.err:     at com.android.org.conscrypt.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:374)
W/System.err:     at com.android.org.conscrypt.OpenSSLSocketImpl.waitForHandshake(OpenSSLSocketImpl.java:598)
W/System.err:     at com.android.org.conscrypt.OpenSSLSocketImpl.getInputStream(OpenSSLSocketImpl.java:560)
W/System.err:     at *******.***.*******.common.CometSocketApi.openSSLSocketWithCA(CometSocketApi.java:464)

【问题讨论】：

即使在请求 TLS 时，Java 也会潜入 SSLv3（回复：SSLContext context = SSLContext.getInstance("TLS");）。我猜 Android 5 允许与 Oracle Java 和 SSLv3 一致；而 Android 6 停止跟随包并且不允许它（但它只是一个猜测）。你可以试试Which Cipher Suites to enable for SSL Socket?提供的SSLSocketFactoryEx
@jww 感谢您的评论我已经尝试过您的建议，但没有成功。

标签： android openssl ssl-certificate ssl-security ssl-client-authentication

【解决方案1】：

经过大量的网络搜索。我已经登陆了这个页面Updating security provider 最后，这个解决方案对我有用

我在主要活动的 onCreate 中调用了这段代码

 try {
        ProviderInstaller.installIfNeeded(this);
    } catch (GooglePlayServicesRepairableException e) {
        GooglePlayServicesUtil.getErrorDialog(e.getConnectionStatusCode(), callingActivity, 0);
    } catch (GooglePlayServicesNotAvailableException e) {
        Log.e("SecurityException", "Google Play Services not available.");
    }

这解决了我的问题

【讨论】：