Installing a self-signed certificate on an Android device
On the phone or tablet, open a web browser and go to the following url :
If the network settings are properly set on your device, you should land on a page looking like this one :
Hit the Android logo to download the mitmproxy certificate. An alert should appear, saying that you are about to download the mitmproxy-ca-cert.pem file : hit Download.
Another alert will ask you to set a password on your device in order to use self-signed certificates, if the device already has a password you will be asked to key it in.
Now you need to choose a certificate name, insert any name then hit OK.
On Android, certificates installed by users are enabled by default so your device should be ready at this point.
If you need to manage certificates you installed, you can find them in Settings > Biometrics and security > Other security settings > User certificates.
That’s it! The mitmproxy certificate is now installed on your device : let’s go back to the main tutorial and try catching a few requests.
Adding a Certificate to Android System Trust Store
The Android Platform N and above have 2 different Trust Stores, the user trust store and the system trust store. Installing a certificate to a user trust store is easy and it can be done using the devices UI. Adding a certificate to system trust store is more complicated process but, it is totally worth taking that extra effort to add a certificate to system tust store while hacking android apps. However, it can only be done on a rooted device or emulator with root access.
System Trust Store location in Android-7: /system/etc/security/cacerts/
User Trust Store location in Android-7: /data/misc/keystore/user_0/
Why Install certificates in System Trust Store?
While performing a pentest or doing security research or just want proxy the HTTPS traffic of apps using a proxy tool such as Burp, Zap,mitmproxy… All the apps by defaults do not trust the user trust store unless explicitly stated in the network security configuration of the app.
It is good idea to check this configuration even before attempting to bypass the certificate pinning or else one may end up in a rabbit hole.
Even if a app does trust the user store in the configuration you may still have trouble proxying all the applications traffic. If the app uses the WebViews for loading any HTTPS web pages in the app they might not be loaded on the app. As the WebViews do not trust the user store even if the app does so.
Installing the certificate of proxy server in the system store will solve this issues.
Steps to install Burp root certificate in the Android System Trust Store
My favourite proxy tool is Burp. I’ll be showing steps to get this setup done with Burp Suite. You can get similar setup done if you are using any other proxy tools as well.
First of all we need to get the certificate that we need to add to the Android’s system trust store. We can use the certificate that Burp suite generates but it will cause issues while proxying the WebView traffic due it validity period. The Burp root certificate is valid for 20 years. We need to create a root certificate that is valid for 10 year.
A root certificate can be created using openssl or any similar tool. KeyStore Explores is a great tool with a UI which can be used to generate a root certificate.
Create a root certificate:
- Create a new KeyStore and generate a new key pair with a validity of 10 years. If the validity is too long the WebView traffic cannot be proxied. Thus adding the burp proxy’s certificate directly to android system trust store will cause problems. SO, it is a good idea to create a new root certificate will appropriate validity period.
2. Fill in the CN, OU, O, L, ST and C fileds of the certificate. The add the following Basic Constraints and Key Usage Extensions to the key pair that you are generating.
3. Once the keypair is generated export the certificate in .cer format and save the keystore with a password in PCKS # 12 keystore format.
Import the private key to burp proxy
Add the certificate to System Trust Store:
The certificate file should be renamed before it can be added to Android System trust store. The file name should be certificates old hash appended by a .0 (its zero not a letter o) extension. The old hash can be generated by using the following command. Once the old hash is generated rename the certificate file to <old_hash>.0 format.
Push the certificate onto the device using ADB.
By default the /system directory will be read only mode. It needs to be remounted to read-write so that the certificated we just pushed on to device can be placed in the directory where the systems certificates are present.
If you get a error message which says “mount: ‘/system’ not in /proc/mounts” then, you will have to replace the content in bold in the above command accordingly. All the mounted filesystems on that device or emulator can be found in /proc/mount file. so a simple cat and grep can help us find the correct name.
This is usually the case while working with a physical device. You will need to use the following command to remount the system fislesystem.
Once the filesystem is remount to read-write we can copy our certificate to the system trust store the set the appropriate permissions, user and group. Once that is done you need to reboot the device and you can see the certificate added to the system trust store.
RepairPhone.ru
Сайт о ремонте сотовых телефонов, смартфонов и планшетов. Обзор планшетов и смартфонов на Андроид, iOS, Windows.
Как установить сертификат на Android?
Как установить сертификат на Android? Давайте разберёмся в этом вопросе. Прежде всего, SSL-сертификат подтверждает подлинность сайта и позволяет устанавливать с ним безопасное соединение. Однако, не будем утверждать, что это гарантирует полную безопасность. Только то, что к передаче данных не подключится злоумышленник.
Говоря о сертификации SSL, люди часто говорят о веб-сайтах. Однако сертификация безопасности мобильных приложений сейчас не менее, если не более важна. Если не знали, Android используют сертификаты с инфраструктурой открытых ключей для повышения безопасности.
Эти сертификаты являются общим строительным блоком для зашифрованной связи между клиентами и серверами. Поэтому, если для приложения или сети, которую вы хотите использовать, требуется сертификат, то вы должны установить его. Прежде чем сможете его использовать. Итак, как установить SSL-сертификат на Android?
К слову, в настоящее время многие владельцы ресурсов испытывают проблемы с продлением или получением SSL-сертификатов. Проблему можно решить, посетив ресурс https://rackstore.ru/ssl-sertificat/ и получив новый сертификат безопасности.
Как установить сертификат на Android?
Прежде всего, отметим, что установить сертификат на Android довольно просто. Для этого, загрузите нужный файл на свое устройство. А затем перейдите в приложение «Настройки», чтобы добавить его в хранилище учетных данных вашего устройства.
Развертывание сертификата на устройстве Android не может быть автоматизировано. Следовательно, нужно сделать это вручную. Кроме того, если используете пользовательскую версию Android, этот шаг вам не подойдет.
Как установить сертификат на Android – алгоритм
Установка сертификата на устройства Android необходима, если вы хотите получить доступ к защищенной сети. Вся суть сертификата заключается в том, чтобы гарантировать, что злоумышленники и неавторизованные пользователи не имеют доступа к сети.
Надлежащий сертификат, установленный на вашем устройстве, поможет сети идентифицировать ваш смартфон и подтвердить, что он должен иметь доступ к сети. Поначалу процесс установки сертификата на Android-устройство может показаться немного сложным.
Особенно если вы впервые знакомитесь с телефонами Android с помощью доверенного сертификата. Однако мы разбили весь процесс на семь простых шагов, чтобы каждый мог его понять.
Шаг № 1: Откройте ссылку на сертификат
Первым шагом к установке сертификата на Android-устройство является его загрузка. Обычно развертывание сертификата выполняется по беспроводной сети по электронной почте.
Когда вы получите электронное письмо со ссылкой на сертификат, откройте ссылку в локальном браузере, например Chrome.
Убедитесь, что ваше устройство подключено к Интернету. Также обратите внимание, что вам не нужно использовать Android-устройство для загрузки сертификата. Но лучше пропустить шаг передачи файла на ваше Android-устройство.
Шаг № 2: Создайте парольную фразу PKCS # 12
В большинстве случаев при открытии ссылки вам будет предложено ввести одноразовый пароль сертификата. Вы должны найти этот пароль в отправленном вам электронном письме.
Но если вы его не нашли, попросите сетевого администратора предоставить его вам. После ввода пароля перейдите к созданию парольной фразы PKCS#12. Парольная фраза – это пароль, который вы будете использовать при установке сертификата на свое устройство.
В большинстве случаев парольная фраза состоит из 12 символов и должна быть буквенно-цифровой, то есть она должна содержать только буквы и цифры, но не специальные символы.
Шаг № 3: Загрузите сертификат на свое устройство
После завершения процесса загрузки сертификата вы можете перейти по ссылке для загрузки, чтобы загрузить сертификат. Когда вы нажмете «Загрузить», будет предложено выбрать папку, в которую хотите загрузить сертификат.
Рекомендуется загрузить сертификат во внутреннюю память Android-устройства. Хотя даже если скачать на SD-карту, тоже нормально будет работать. Вам также следует создать папку в корневом хранилище вашего устройства Android, куда хотите загрузить сертификат, чтобы могли легко его найти.
Шаг № 4: Назовите SSL-сертификат
Когда сертификат будет успешно загружен, вы можете получить предупреждение на свой телефон о том, что «доверенная третья сторона может контролировать сеть». Это предупреждение может быть немного пугающим.
Но если вы устанавливаете сертификат из доверенного ЦС, то не о чем беспокоиться. Итак, продолжайте, присвоив сертификату имя по вашему выбору, и нажмите кнопку «ОК».
Шаг № 5. Как установить сертификат на Android в настройках?
Откройте приложение « Настройки » на устройстве Android и перейдите к разделу «Безопасность». Прокрутите вниз, выберите «Шифрование и учетные данные». А затем выберите «Установить сертификат». На этом этапе вас спросят, какой тип сертификата вы хотите установить. Выберите тип сертификата для продолжения: сертификат ЦС, VPN и приложения или WiFi.
Шаг № 6: Найдите сертификат
На следующем этапе вы будете перенаправлены в каталог вашего устройства. Где теперь вы можете найти сертификат, который хотите установить. Перейдите в созданную папку и нажмите на сертификат.
Шаг № 7: Как установить сертификат на Android – финал
Введите парольную фразу, которую вы создали при загрузке сертификата, и нажмите кнопку «ОК». Внесите необходимые изменения в настройки сертификата и нажмите кнопку «ОК», чтобы продолжить установку. Подождите пару секунд или минут, пока вы не получите полную установку, тогда все готово.
Дополнительная информация о том, как установить сертификат на Android
Устройство Android поддерживает только SSL-сертификаты X.509 с кодировкой DER. Поэтому убедитесь, что расширение сертификата, которое вы загружаете, имеет формат .crt или .cer. Кроме того, файлы хранилища ключей PKCS#12 должны иметь расширение .pfx или .p12.
Резюме
Как видно из этого руководства, шаги по установке сертификата на Android-устройство могут быть немного длинными, но довольно простыми. Так что не кажитесь невежественным, когда вам в следующий раз понадобится установить сертификат на Android. Следуйте шагам, описанным в этой статье, и все будет хорошо.
Как установить сертификат на телефон
Это инструкция по установке сертификатов на телефон или планшет с системой Android. Для корректной работы нужно два сертификата — корневой и выпускающий.
Установите корневой сертификат
Скачайте корневой сертификат удостоверяющего центра по ссылке
Перейдите в «Настройки»
В поиске введите «Сертификат» и выберите «Сертификат CA»
Если появится окно «Укажите название сертификата», введите «Russian Trusted Root CA», выберите «VPN и приложения» и нажмите «ОК»
Если откроется предупреждение, нажмите «Всё равно установить» или «Установить в любом случае»
Введите код-пароль от устройства и нажмите «Подтвердить»
В «Загрузках» выберите «Russian Trusted Root CA.cer»
Сертификат установится. В нижней части экрана появится уведомление «Сертификат ЦС установлен»
Повторите действия для установки выпускающего сертификата
Скачайте корневой сертификат удостоверяющего центра по ссылке
Перейдите в «Настройки»
В поиске введите «Сертификат» и выберите «Сертификат CA»
В предупреждении нажмите «Всё равно установить» или «Установить в любом случае».
Если появится окно «Укажите название сертификата», введите «Russian Trusted Sub CA», выберите «VPN и приложения» и нажмите «ОК»
Введите код-пароль от устройства и нажмите «Подтвердить»
В «Загрузках» выберите «Russian Trusted Sub CA.cer»
Сертификат установится. В нижней части экрана появится уведомление «Сертификат ЦС установлен»
Проверьте, что установка прошла успешно
Перейдите в «Настройки», в поиске введите «Надёжные сертификаты» или «Надёжные учётные данные» и перейдите во вкладку «Пользователь»
В списке появится два установленных сертификата Минцифры: «Russian Trusted Root CA» и «Russian Trusted Sub CA»
Очистите кеш вашего браузера
Очистите кеш браузера на устройстве, с которого осуществляется доступ. Это необходимо для корректной работы с ресурсами, защищёнными сертификатами безопасности Минцифры.