aaaicu

많은 시간을 들인 게시글입니다. 

무단으로 복사해서 게시하지 말아 주세요.

앱과 서버를 만들어서 HTTP로 통신하게 만들었다.

만들고 나니 HTTPS로 통신하게 만들고 싶어 졌다.

그리고 문제가 생겼다.

1. 에러 발생

" javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. "

직접 제작한 인증서를 서버에 적용하고

안드로이드에서 통신하려 하는데 에러가 발생했다.

답답한 마음에 파파고한테 물어봤다...

파파고가 알려주기를

인증 경로에 대한 신뢰 앵커를 찾을 수없다는데......

무슨 말인지 모르겠닼ㅋㅋㅋㅋ

2. 원인 추정

느낌상 원인은 OpenSSL로 직접 만든 인증서를 

서버에 적용했기 때문에 

프로토콜은 HTTPS이지만 신뢰할 수 없다는 거 아닐까 싶다.

추가적으로 찾아보니 공식문서에

"시스템에서 신뢰할 수 없는 CA를 보유했기 때문에 SSLHandshakeException이 발생합니다"

"공개 CA가 아니라 자체 사용을 위해 정부, 회사 또는 교육 기관 같은 조직에서 발급하는 비공개 CA이기 때문"

라는 문구를 찾아볼 수 있었다.

3. 해결 방안

이런 문제를 해결을 위해 참고할만한 공식문서가 있다.

https://developer.android.com/training/articles/security-ssl?hl=ko#UnknownCa

공식문서의 내용은

특정 CA 집합을 신뢰하도록

HttpsURLConnection에 알리는 방식이다.

간략하게 이해하기로 SSL 인증서 중 .crt 형식의 인증서 파일이 있는데

이 파일로 SSL 소켓 팩토리를 만들고 urlConnection에 붙이는 방식이다.

이러한 내용을 조금 변경해서

urlConnection 대신 OkHttpClient를 세팅하였고

이렇게 만든 OkHttpClient를 Retrofit에 빌더에 추가해주면

해당 에러는 해결할 수 있었다.

4. 상세 방법 및 소스

1) raw 디렉터리에 crt 인증서 넣기

 - 우선 안드로이드 raw 밑에 raw디렉터리를 만든다.

 - SSL소켓 팩토리를 만들기 위해 crt 인증서를 raw밑에 넣는다.

2) 자체 인증 빌더 클래스 생성

Retrofit으로 통신을 할 것이기 때문에 OkHttp를 사용해야 한다.

OkHttp.Builder를 받아 SSL소켓 팩토리를 붙인 Builder를

반환하는 메서드를 만들었다.

public class SelfSigningHelper {
    private SSLContext sslContext;
    private TrustManagerFactory tmf;

    private SelfSigningHelper() {
        setUp();
    }
    
	// 싱글턴으로 생성
    private static class SelfSigningClientBuilderHolder{

        public static final SelfSigningHelper INSTANCE = new SelfSigningHelper();
    }
	
    public static SelfSigningHelper getInstance() {
        return SelfSigningClientBuilderHolder.INSTANCE;
    }

    public void setUp() {

        CertificateFactory cf;
        Certificate ca;

        InputStream caInput;
        try {
            cf = CertificateFactory.getInstance("X.509");
            // Application을 상속받는 클래스에 
            // Context 호출하는 메서드 ( getAppContext() )를 
            // 생성해 놓았음
            caInput = AppApplication.getAppContext().getResources()
            		.openRawResource(R.raw.my_cert);

            ca = cf.generateCertificate(caInput);
            System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());

            // Create a KeyStore containing our trusted CAs
            String keyStoreType = KeyStore.getDefaultType();
            KeyStore keyStore = KeyStore.getInstance(keyStoreType);
            keyStore.load(null,null);
            keyStore.setCertificateEntry("ca", ca);

            // Create a TrustManager that trusts the CAs in our KeyStore
            String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
            tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
            tmf.init(keyStore);

            // Create an SSLContext that uses our TrustManager
            sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, tmf.getTrustManagers(), new java.security.SecureRandom());

            caInput.close();
        } catch (KeyStoreException 
        		| CertificateException 
                | NoSuchAlgorithmException 
                | IOException 
                | KeyManagementException e) {
            e.printStackTrace();
        }
    }

    public OkHttpClient.Builder setSSLOkHttp(OkHttpClient.Builder builder){

        builder.sslSocketFactory(getInstance().sslContext.getSocketFactory(), 
        	(X509TrustManager)getInstance().tmf.getTrustManagers()[0]);
            
        return builder;
    }
}

 - 싱글턴으로 생성, 생성자에서 setUp() 호출

 - setUp() 메서드를 사용해서 SSLContext와 TrustManagerFactory를 생성, 할당

 - setSSLOkHttp(OkHttpClient.Builder builder() 에서 SSL 소켓 팩토리 추가

3) Retrofit.Builder에 Client변경

Retrofit에서 build 설정으로

사설 SSL이 통신 가능한 client를 지정한다.

public class RetrofitFactory {

    public static Retrofit createRetrofit(Context context,String baseUrl) {
        Retrofit retrofit = new Retrofit.Builder()
                .baseUrl(baseUrl)
                .client(createOkHttpClient())
                .build();
        return retrofit;
    }

    private static OkHttpClient createOkHttpClient() {
        SelfSigningHelper helper = SelfSigningHelper.getInstance();
        OkHttpClient.Builder builder = new OkHttpClient.Builder();
        helper.setSSLOkHttp( builder);

        return builder.build();
    }
}

- Retrofit.Builder에 client로 OkHttpClient를 지정

- 새로 만든 OkHttpClient에 위에서 만든 메서드를 활용해서 SSL 통신이 되도록 변경

** 참고 레트로핏 세팅방법 

4) Hostname (ip) not verified 에러

"javax.net.ssl.SSLPeerUnverifiedException:Hostname 10.0.2.2 not verified"

위의 내용을 다 처리하면

이제 새로운 에러가 나온다 ㅎㅎㅎㅎ

다행히 다음의 내용을 참고할 수 있었다.

해당 사이트에서 원인을 친절하게 알려줬다.

현재 통신하고 있는 서버가 올바른 인증서를 제시하는지 확인하는 절차에서 에러가 난 것이다.

지금까지 조치한 내용은 인증서 자체가

신뢰할 수 없는 소스라고 해서 에러가 난 것이고

이번 에러는 서버가 올바른 인증서를

주는지에 대해서 검증하는 과정에 난 것이다.

결국 자체 SSL이기 때문에 난 것 같은데 

찾아보니 검증 도구를 변경하여 강제로

인증하는 방법이 있다.

공식문서에서 

"최소한 앱에서 예상한 위치에 있음을

확인하는 인증 도구로 교체" 

하는 방법이라고 소개하는데 

주의해서 사용하라고 하고 있으니 

주의하면 될 것 같다.

// 4. 2) 의 소스를 다음과 같이 변경

	public OkHttpClient.Builder setSSLOkHttp(OkHttpClient.Builder builder,String target){

        builder.sslSocketFactory(getInstance().sslContext.getSocketFactory()
        		, (X509TrustManager)getInstance().tmf.getTrustManagers()[0]);
        
        // 여기서부터 추가
        builder.hostnameVerifier((hostname, session) -> {
            if (hostname.contentEquals(target)) {
                Log.d("test", "Approving certificate for host " + hostname);
                return true;
            }else {
                Log.d("test", "fail " + hostname);
                return false;
            }
        });
        // 여기까지 추가
        return builder;
    }

 - '4. 2) 자체 인증 빌더 클래스 생성'에서 setSSLOkHttp의 메서드를 수정한다.

 - 파라미터로 String target를 받아 hostname.contentEquals(target)에서 검증한다.

public class RetrofitFactory {

    public static Retrofit createRetrofit(Context context,String baseUrl) {
        Retrofit retrofit = new Retrofit.Builder()
                .baseUrl(baseUrl)
                .client(createOkHttpClient())
                .build();
        return retrofit;
    }

    private static OkHttpClient createOkHttpClient() {
        SelfSigningHelper helper = SelfSigningHelper.getInstance();
        OkHttpClient.Builder builder = new OkHttpClient.Builder();
        
        // 여기 변경
        helper.setSSLOkHttp( builder,"10.0.2.2");

        return builder.build();
    }
}

 - 사용 시 Host의 IP를 입력

 - 인증서가 있을 hostname과 HTTPS를 통해

요청하는 목적지가 동일한지 확인하여 검증

Retrofit 이제 정상적으로 요청이 간다!!

참조 사이트 :

gist.github.com/nowke/75037c42171d9ea5ce87a49a982c4c39 

도움이 되는 글이었다면

로그인이 필요 없는 공감 버튼 꾹 눌러주세요! 

1. Retrofit ?

모바일에서 HTTP API통신을 할 경우

많이 사용하는 라이브러리이다.

Retrofit은 Gson, Jackson 등 여러 컨버터를

지원하여 다양한 형태의 데이터를 

편하게 주고받을 수 있다.

<참고 - Retrofit 한글 문서 : http://devflow.github.io/retrofit-kr/>

2. 사용하기

1) 설치 및 권한 설정 

<!-- build.gradle  -->
...

dependencies {
    ...
    // Retrofit
    implementation 'com.squareup.retrofit2:retrofit:2.6.2' // 레트로핏 설치 (필수)
    implementation 'com.squareup.retrofit2:converter-gson:2.6.2' // 컨버터 (선택)
    implementation 'com.google.code.gson:gson:2.8.5'  //GSON (선택)
    ...
}

<!-- AndroidManifest.xml  -->
<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.example.test">
    .....
    <uses-permission android:name="android.permission.INTERNET"/>
    ....
    

Http 통신을 하기 때문에 인터넷 사용에 대한 권한을 추가해 주어야 한다.

2) Retrofit 객체 생성하기

public class RetrofitFactory {

    public static Retrofit createRetrofit(String baseUrl) {
        Retrofit retrofit = new Retrofit.Builder()
                .baseUrl(baseUrl)
                .addConverterFactory(GsonConverterFactory.create())
                .build();
        return retrofit;
    }
 }

Retrofit을 사용하기 위해서는 Retrofit객체를 생성해야 한다. 

보통 Retrofit 객체를 생성하는 메서드를 선언해두고 재사용한다.

Retrofit 객체를 생성하기 위해 빌더 객체를 생성해야 하고

필요한 설정 사항을 추가해서 빌드한다.

baseUrl은 URL 호출 시에 반복을 줄여주는 역할을 한다.

예를 들면 

kyome.tistory.com/150 호출해야 한다고 하면

보통 'kyome.tistory.com/' 까지는 고정이고

'150' 부분이 변하는 부분이기 때문에 

 ''kyome.tistory.com/'를 baseUrl로 세팅한다.

addConverterFactory는

HTTP 통신 시에 주고받는 데이터 형태를 

변환시켜 주는 컨버터를 지정하는 설정이다.

Gson, Jackson 등 다양하다.

3) 서비스 생성하기

public interface ExampleService {

    @GET("/example/info")
    Call<String> getExampleBySeq(@Query("seq") String param);
}

이제 Service (Retrofit의 용어) 클래스를 만든다.

Retrofit에서 Service는 API를 정의하는 인터페이스를 말한다.

Service는 interface로선언하기 때문에

구현할 필요는 없고 어떤 형태와

방식으로 통신을 할지를

어노테이션과 파라미터로 지정하면 된다.

(Retrofit이 알아서 구현해준다)

Service는 기본적으로 Call<T> 객체를  반환한다.

서버의 API가 String을 반환한다고 가정하면

클라이언트는 Retrofit을 통해 Call <String>를받게 될 것이다.

Call<T> 객체에 대해서는 아래에서 다룬다.

4) Retrofit - Service 연결하기 (Call<T> 객체얻기)

public class ExampleRepository {
    private ExampleRepository() {
    }
    
    // 싱클턴으로 사용
    public static ExampleRepository getInstance(){
        return ExampleRepositoryHolder.INSTANCE;
    } 
    
	public Call<String> getExampleBySeq(String seq) {
        return RetrofitFactory
        	.createRetrofit("http://10.0.2.2:8080/") // Retrofit객체 반환
        	.create(ExampleService.class)
            .getExampleBySeq(seq);
    }
}

Retrofit은 create 메서드에 Service 클래스를 넣어서

HTTP에접근할 Retrofit 객체를 만든다.

이렇게 만든 Retrofit객체를 만들었으면

클라이언트와 서버가 통신할 길을

열렸다고 볼 수 있다.

Retrofit에서 Service에 선언한 메서드를 호출하는

방식으로 통신의 길을 열 수 있다.

통신의 길이라고 표현한 이유  ↓↓

실제 개발 시 재사용성을 높이고 

유지보수를 편하게 하기위해

Retrofit을 생성하는

중간 클래스인 Repository를 만들어 두고

필요 따른 Retrofit 생성 메서드를 저장한다.

5) Call<T> 객체 사용하기

...

ExampleRepository.getInstance()
	.getExampleBySeq(editTextSeq.getText().toString())
    	.enqueue(new Callback<String>(){
          @Override
          public void onResponse(Call<String> call, Response<String> response) {
          }

          @Override
          public void onFailure(Call<String> call, Throwable t) {
          Log.d("test", t.toString());
       	}
});

...

Call<T>은 인터페이스이다.

Call 인터페이스는

enqueue(Callback<T> callback); 메서드를

갖고 있어야한다.

그러니 통신을 한 후에 받은

Call<T> 객체는 enqueue가

구현된 상태라는 것이다.

이를 통해 받은 통신의 결과에 대한 후 처리를 할 수 있다.

Retrofit은 통신의 결과에 따라 

파라미터로 받는 Callback 의 메서드를 실행해준다.

성공시 onResponse 를 실행하고

실패 시 onFailure를 실행한다.

참고로 Callback<T> 또한 인터페이스다.

void onResponse(Call<T>call,Response<T>response);

void onFailure(Call<T>call,Throwablet);

메서드가 구현을해야 사용할 수 있다.

도움이 되는 게시글이었다면 

로그인이 필요 없는 공감 버튼 꾹 눌러주세요!