Android根证书颁发

Question

我试图使用OWASP代理和Burp Suite拦截请求。我目前的配置是我的android手机(One Plus 5，AndroidOreo8.1)已经安装了来自ZAP和Burp的证书。但是，当我在ZAP代理中更改了ZAP证书时，就会出现问题。因此，使用ZAP代理上的新证书，通常的做法是将证书安装到我的Android手机中。但是有了现有的ZAP证书，我不能这么做。

如果我试图从/system/etc/security/cacerts中删除旧的ZAP证书，重新启动、安装新证书并再次重新启动，证书将不会显示在凭据存储中。

接下来，我尝试删除新证书并将旧证书放回并重新启动，证书现在将显示在凭据存储中。

为什么我不选择只将旧证书导入新的ZAP代理？因为将证书导入ZAP需要证书和未加密私钥的格式。(https://github.com/zaproxy/zap-core-help/wiki/HelpUiDialogsOptionsDynsslcert)

实际上，我不仅在ZAP证书上遇到了这个问题，而且还遇到了Burp证书的问题，试图安装同名的新证书是行不通的。如果有人有任何解决办法，请帮帮我。

参考资料:这是我在Android手机中插入自定义证书的步骤。(https://blog.ropnop.com/configuring-burp-suite-with-android-nougat/)

Answer 1

我从未在android上使用过OWASP证书，但我可以帮助Burp。

1. 我通常将burpsuite证书导出为.der到我的桌面ou，我用智能手机浏览到http://burp并下载证书。
2. 一旦在任何设备上下载了.der证书，我就会将扩展更改为.crt，然后按下证书上的安装键，将cert.crt int安装到智能手机上。
3. 一旦安装了证书，我就可以在android wifi设置上添加代理IP地址，然后就可以拦截流量。

请访问带有关于如何在android设备上安装burp套件证书的官方指示的portswigger网站。https://portswigger.net/support/installing-burp-suites-ca-certificate-in-an-android-device