切换到窄版

 找回密码
 立即注册
搜索
Stage1st»论坛 主论坛 PC数码 [已解决]Z3TC根证书2021年9月30日过期,如何导入新的根 ...
返回列表 发新帖
查看: 2517|回复: 11

[移动] [已解决]Z3TC根证书2021年9月30日过期,如何导入新的根证书?

[复制链接]
zmw_831110
     
发表于 2022-2-7 22:47 来自手机 | 显示全部楼层 |阅读模式
本帖最后由 zmw_831110 于 2022-2-21 11:00 编辑

就搜到
可以Root后安装ISRG Root X1 Self-signed根证书
https://letsencrypt.org/certificates/

那个网址过去,就下载了一个isrgrootx1.pem.txt
怎么装呢?

设备Z3TC,已root

软件报错证书过期

解决方法:
确保机器是Root的,将6187b673.0移动到/system/etc/security/cacerts,并将文件权限修改为644,然后重启设备,搞定
6187b673.0 (1.89 KB, 下载次数: 135)
回复

使用道具 举报

强尼高达
     
发表于 2022-2-7 22:54 | 显示全部楼层
根证书过期了会怎样?
回复

使用道具 举报

5long
     
发表于 2022-2-7 23:17 | 显示全部楼层
强尼高达 发表于 2022-2-7 22:54
根证书过期了会怎样?

https://sjtug.org/post/mirror-news/2021-10-04-cert/
浏览器会报错, 说网站的证书不可信
这个网站可以用来模拟此类效果: https://expired-isrgrootx1.letsencrypt.org/
如果不是浏览器, 而是 App 访问 HTTPS API, 也(可能)会因为证书不可信而无法获取数据
如果用户选择无视证书不可信的情况, 有可能会被"中间人攻击"

评分

参与人数 1战斗力 +2 收起 理由
zmw_831110 + 2 好评加鹅

查看全部评分

回复

使用道具 举报

5long
     
发表于 2022-2-7 23:23 | 显示全部楼层
拿自己的 Pixel 4A Android 12 试了一下
手动安装 ISRG Root X2 这个证书, 成功了
用的是 Android 设置里自带的功能, 并不需要 root.

可能需要注意的地方是:
下载下来的 pem 格式的证书扩展名必须是 .pem 结尾, 才能正确安装.
下载工具(比如浏览器)可能会出于安全考虑, 擅自把文件改名成了 .pem.txt 结尾
如果用手机 / 平板直接访问 https://letsencrypt.org/certificates/ 会报证书错误
那么也可以先用别的设备访问这个页面, 下载证书, 设法传到手机里, 再安装就行了.
回复

使用道具 举报

二丁目拓也
头像被屏蔽
     
发表于 2022-2-7 23:27 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

强尼高达
     
发表于 2022-2-8 00:40 | 显示全部楼层
5long 发表于 2022-2-7 23:17
https://sjtug.org/post/mirror-news/2021-10-04-cert/
浏览器会报错, 说网站的证书不可信
这个网站可以 ...

用chrome访问了百度、华擎和微星,没有任何问题
回复

使用道具 举报

zmw_831110
     
 楼主| 发表于 2022-2-8 00:55 来自手机 | 显示全部楼层
本帖最后由 zmw_831110 于 2022-2-8 00:57 编辑

自己搜了很多安卓怎么安装系统根证书的教程,卡住了.
https://blog.njcit.me/2020/08/21 ... %E8%AF%81%E4%B9%A6/

首先计算isrgrootx1.pem的哈希值文件名,随后改名成xxxxxxxx.0(x为哈希值,但不清楚是啥算法的,看命令用-subject_hash_old,也没找到可以在线计算的),我就卡这一步了…(目测程序员都是linux环境,我是windows装了个openssl,也无法运行这个命令openssl x509 -inform PEM -subject_hash_old -in  证书文件名.pem)

如果能完成这步,后面的将文件移动到/system/etc/security/cacerts,并将文件权限修改为644我是会的

所以有谁可以直接提供改好名的证书文件么?

或者有靠谱的安卓安装系统根证书(root)教程么?

用户级的证书导入试了,无效

—— 来自 Xiaomi M2007J3SG, Android 11上的 S1Next-鹅版 v2.5.2
回复

使用道具 举报

5long
     
发表于 2022-2-8 01:36 | 显示全部楼层
zmw_831110 发表于 2022-2-8 00:55
自己搜了很多安卓怎么安装系统根证书的教程,卡住了.
https://blog.njcit.me/2020/08/21/%E3%80%90%E8%80%81 ...

如果非要用 root 装到系统级证书
那么我这边算出来的 hash 是:

  1. > openssl x509 -inform PEM -subject_hash_old -in isrgrootx1.pem | head -1
  2. 6187b673
复制代码


但我手上没有低版本(也不知道你在用的是啥版本) & root 过的安卓机了
没法验证这个 hash 算出来是否真的可用

评分

参与人数 1战斗力 +2 收起 理由
zmw_831110 + 2 搞定了,谢谢

查看全部评分

回复

使用道具 举报

5long
     
发表于 2022-2-8 01:43 | 显示全部楼层
强尼高达 发表于 2022-2-8 00:40
用chrome访问了百度、华擎和微星,没有任何问题

因为这几个网站的证书信任链上的各级证书都没过期
其中的根证书也在你的客户端(多半可能是系统级, 也可能是应用级)已经受信了.
回复

使用道具 举报

zmw_831110
     
 楼主| 发表于 2022-2-8 02:13 来自手机 | 显示全部楼层
5long 发表于 2022-2-8 01:36
如果非要用 root 装到系统级证书
那么我这边算出来的 hash 是:

搞定了,谢谢


—— 来自 Sony SGP621, Android 6.0.1上的 S1Next-鹅版 v2.4.3
回复

使用道具 举报

atomicink
     
发表于 2022-2-24 12:09 来自手机 | 显示全部楼层
插眼,所以没有维护的老安卓平板或手机都会根证书过期?
回复

使用道具 举报

zmw_831110
     
 楼主| 发表于 2022-2-24 14:28 来自手机 | 显示全部楼层
atomicink 发表于 2022-2-24 12:09
插眼,所以没有维护的老安卓平板或手机都会根证书过期?

是的,昨天把P8的根证书也更新了,居然莫名得感觉续航好了些

—— 来自 Xiaomi M2007J3SG, Android 11上的 S1Next-鹅版 v2.5.2
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2024-11-14 01:52 , Processed in 0.038209 second(s), 8 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表