Я пытаюсь выполнить HTTPS-запросы к хосту 10.10.10.1 с хоста Android с 10.10.10.2 в сети без подключения к Интернету - только WiFi 2 peers AP и Android 9 Google Pixel One устройство.
I 'я создал network_security_config.xml с моим сертификатом, который является самоподписанным и имеет CN = 10.10.10.1 и SAN = DNS: 10.10.10.1 PI: 10.10.10.1.
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<base-config cleartextTrafficPermitted="true">
<trust-anchors>
<certificates src="system" />
<certificates src="user" />
<certificates src="@raw/zone"/>
</trust-anchors>
</base-config>
</network-security-config>
Я не получаю ошибку проверкии наблюдать успешные запросы, поступающие на сервер - данные HTTP-запроса, расшифрованы и отображаются в журнале сервера.Но сервер не может отправить данные обратно!Он отправляет, но по какой-то причине эти данные не принимаются телефоном Android - просто игнорируются.
Я вижу, что пакеты отправляются с сервера на телефон, и сервер неоднократно пытается отключить сокет SSL до появления ошибки илиуспех (я сделал такое поведение преднамеренно во время съемки) - вот свалка Wireshark с воздуха WiFi:
Вот мой запрос от AsyncTask
protected String doInBackground(String... params) {
StringBuilder result = new StringBuilder();
try {
CertificateFactory cf = CertificateFactory.getInstance("X.509");
InputStream caInput = new BufferedInputStream(MainActivity.this.getResources().openRawResource(R.raw.zone));
Certificate ca = cf.generateCertificate(caInput);
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
SSLContext ctx = SSLContext.getInstance("TLS");
ctx.init(null, tmf.getTrustManagers(), null);
URL url = new URL("https://10.10.10.1/connect");
HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
conn.setSSLSocketFactory(ctx.getSocketFactory());
conn.setRequestProperty("param1", params[0]);
conn.setRequestProperty("param2", params[1]);
conn.setRequestMethod("POST");
conn.setDoOutput(true);
conn.setDoInput(true);
mInputStream = conn.getInputStream();
byte[] buffer = new byte[1024];
ByteArrayOutputStream _buf = new ByteArrayOutputStream();
int l;
BufferedInputStream bufin = new BufferedInputStream(mInputStream);
while ((l = bufin.read(buffer,0,1024)) != -1) {
_buf.write(buffer, 0, l);
String rec = _buf.toString("UTF-8");
Log.d("MAIN", "Read: " + rec);
result.append(rec);
}
Log.d("MAIN", "Read finished: " + result.toString());
} catch (Exception e) {
e.printStackTrace();
}
return result.toString();
}
Я подозреваю, что Android 9 Network Security каким-то образом блокирует трафик.Я пытался использовать SSLSockets, изменить порт с 443 на, например, 1234 - не повезло.
Фактически мое приложение создается с помощью Qt, и сначала я использовал материал Qt, но безуспешно - я сделал откат на Android Javaкод в моей MainActivity, который я вызываю через JNI из кода Qt.Результат тот же, и у меня нет идей больше ...
Куда копать?
UPD1
Когда генерируется самозаверяющий сертификатс SAN, содержащим только DNS:10.10.10.1 (без IP: 10.10.10.1) SSL не работает с предупреждениями:
W System.err: javax.net.ssl.SSLPeerUnverifiedException: Hostname 10.10.10.1 not verified:
W System.err: certificate: sha1/gyr2GOhy5lA+ZAHEzh0E2SBEgx0=
W System.err: DN: CN=10.10.10.1,O=Some ltd.,L=Knoxville,ST=TN,C=US
W System.err: subjectAltNames: [10.10.10.1]
W System.err: at com.android.okhttp.internal.io.RealConnection.connectTls(RealConnection.java:201)
W System.err: at com.android.okhttp.internal.io.RealConnection.connectSocket(RealConnection.java:149)
W ...
И наоборот, с SAN IP: 10.10.10.1 (без DNS: 10.10.10.1) - работает какдо - сеанс установлен, данные переданы на сервер и расшифрованы, но ответы от сервера к клиенту просто игнорируются клиентом.
UPD2
Я также пытался использовать доменимя some.device для устройства 10.10.10.1 и выданный сертификат с CN и SAN DNS = some.device.Он разрешен клиентом Android 9, данные отправляются успешно, но ответ по-прежнему не принимается.
Похоже на ошибку Android.