如何让查尔斯代理与 Android 7 牛轧糖一起工作？

Question

Android 7 对证书的处理方式进行了一些更改 (http://android-developers.blogspot.com/2016/07/changes-to-trusted-certificate.html)，不知何故我无法让我的 Charles 代理继续工作。

我的 network_security_config.xml：

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config>
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </base-config>
    <debug-overrides>
        <trust-anchors>
            <certificates src="user" />
        </trust-anchors>
    </debug-overrides>
</network-security-config>

我正在调试模式下运行。但无论如何，我得到javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.。

不用说，我确实从Settings -> Security -> Install from storage 安装了pfx 证书。证书显示在 User Credentials 中，但不在 Trusted credentials -> User 中。在我的棒棒糖设备上，证书列在那里。

我使用 okhttp3 作为 HTTP 库。

知道我做错了什么吗？

Answer 1

解决方案是不要使用 .p12，只需使用 Chrome（在 wifi 上配置代理）导航到 http://charlesproxy.com/getssl 并安装下载的 .pem 文件。 p>

我在运行 Android 7.0 的 Nexus 5X 上遇到了完全相同的问题。 之前从 Charles 3.11.5 导出了 .p12（Help->SSL Proxying->Export Charles Root certificate and Private key）。当我尝试从手机（设置->安全->从存储安装）安装 .p12 时，它只出现在“用户凭据”下，而从未出现在“受信任的凭据”下，当然，带有 Charles 代理的 SSL 不起作用。

Android 7.0 的全部“操作方法”如下所示：

1. 配置 WiFi + 代理（Charles 的要求）。连接它。
2. 在设备上，使用 Chrome 导航到 http://charlesproxy.com/getssl，接受下载 .pem 的请求，然后按“打开”，它会启动“证书安装程序”应用程序。使用它将证书安装为“VPN 和应用程序”。
3. 在Manifest.xml中将android:networkSecurityConfig="@xml/network_security_config"属性放到<application>
4. 使用第一篇文章中的内容创建 res/xml/network_security_config.xml（完全正确）。
5. 启动 Charles 和应用程序，玩得开心。

附注检查设备上的日期/时间。应该是正确的。

Answer 2

根据 OP 的 cmets 故障排除线程，答案是仅将代理的 CA 证书安装为受信任，而不是其证书 + 私钥。

这个问题是由两个因素造成的：

1. 不仅安装 MiTM 代理的 CA 证书，还安装其私钥（从而使设备上的 VPN 应用程序能够解密/MiTM 网络流量来自其他应用程序）。您不需要设备上的中间人代理的私钥。

2. Android Nougat 更改了 Settings -> Security -> Install from storage 流的行为，文件中包含除证书之外的私钥。这种行为变化暴露了上述问题。

在 Nougat 之前，除了证书之外包含私钥的文件的 Settings -> Security -> Install from storage 流程错误地将证书安装为服务器身份验证受信任（例如，HTTPS、TLS，从而使您的 MiTM 成功），除了正确安装为用于向服务器验证此 Android 设备的客户端证书。在 Nougat 中，该错误已得到修复，并且这些证书不再作为受信任的服务器身份验证安装。这可以防止客户端身份验证凭据影响（削弱）与服务器连接的安全性。在您的场景中，这会阻止您的 MiTM 成功。

使事情复杂化的是Settings -> Security -> Install from storage 没有为用户提供明确的方式来指定他们是安装客户端身份验证凭据（私钥 + 证书链）还是服务器身份验证信任锚（只是一个 CA 证书 - - 不需要私钥）。因此，Settings -> Security -> Install from storage 流通过假设如果指定了私钥，它必须是客户端/用户身份验证凭据来猜测它是在处理客户端/用户身份验证凭据还是服务器身份验证信任锚。在您的情况下，它错误地假设您正在安装客户端/用户身份验证凭据而不是服务器身份验证信任锚。

P。 S. 关于您的网络安全配置，您可能应该将应用程序配置为在调试模式下也信任“系统”信任锚（调试覆盖部分）。否则，应用程序的调试版本将无法工作，除非连接由代理 MiTM'd，其 CA 证书安装为受信任的 Android 设备上。

Answer 3

我使用的是 Android 7.1.1，这是我在设备 (OnePlus One) 上的设置方式 - 没有更改清单（我的应用程序的目标是 API 21）：

在查尔斯代理中：

1. Help > SSL Proxying > Install Charles Root Certificate on a Mobile Device or Remote Browser。此步骤为您提供代理 IP 和端口编号，以及您应该下载 charles 代理 SSL 的链接。

在您的手机上：

1. Wifi Settings > Modify Network > Advanced Options。将代理设置为Manual，并将您从查尔斯那里收到的IP和端口号分别输入Proxy hostname和Proxy port。

2. （可选）您可能无法访问 Charles 之前提供的 chls.pro/ssl 链接。在我的设备上，我总是被告知我没有网络连接。我将 charlesproxy.com 添加到 Bypass proxy for 字段。

3. 在您的浏览器上，转到第 3 步中的链接并下载任何必要的证书（如果它在 Chrome 上不起作用，请下载 Dolphin Browser）。您可以用任何名称命名您的证书。

回到 Charles Proxy：

5. 如果您的设置默认提示您进行远程连接，您应该会收到Allow 或Deny 手机的提示以使用代理。

您现在可以在 Nougat 7.1.1 上使用 Charles。

Answer 4

对我来说，SSL 代理在 release 构建变体中不起作用。在debug 工作。