Saturday, February 6, 2010

Nexus One (Android端末) に CA証明書をインストールする

オレオレ証明書でSSLサイトを運用してるような人向けの話題です。

どうやらNexus OneというかAndroidは任意のCA証明書をインストール出来ない様です。
実際に cert ファイルをダウロードなりすると、証明書インストールツールが起動しますが、これはサイト証明書をインストールして次回以降この証明書を信頼するというようなもの。


CAの証明書をインストールしてもそのCAから発行した証明書は信頼してくれません。


ではどうするのか。cacerts.bksに手で追加するしかありません。

root化必須で、Java実行環境とAndroid SDKが必要です。
まず http://bouncycastle.org/download/bcprov-jdk16-141.jar をダウンロード。

$JAVA_HOME/jre/lib/ext にコピーします。
Macだと /Library/Java/Home/lib/ext/ あたり?
Debian だと/usr/lib/jvm/java-1.5.0-sun/jre/lib/ext/ とか /usr/lib/jvm/java-6-sun/jre/lib/ext/ あたり

android端末からCA証明書ストレージファイルを取り出します。
$ adb pull /system/etc/security/cacerts.bks cacerts.bks

ストレージファイルに CA cert ファイル(cacert.pem)を追加します
$ keytool -keystore cacerts.bks -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider -storepass changeit -importcert -trustcacerts -alias OREORE_CA -file cacert.pem
keytoolはJREに含まれてるはずです。
OREORE_CA は適当な名前をつけたらいいです。

ストレージファイルを戻します。
$ adb remount
$ adb push cacerts.bks /system/etc/security/
これで、このCAから発行した証明書を信頼するようになり、エラーがでなくなります。

ここからは蛇足。
Androidのブラウザか、SSLのframeworkかはわかりませんが、サイト証明書のsubjectAltNameを見ない仕様(RFC的には見るべきなはずですが)のようで、
具体的にはサイト名が証明書と一致しない旨のエラーがでます。


そういうサイト運用の場合はCNを複数定義しておかねばならないようです。
証明書を発行する際の openssl.cnf [ req_distinguished_name ] で、
0.commonName                    = Common Name (eg, YOUR name)
0.commonName_max = 64
1.commonName = Common Name (eg, YOUR name)
1.commonName_max = 64
のようにしておけば、二つのCNを定義することができます。

Thursday, February 4, 2010

続: Nexus One と iPhone を SIM 1枚で運用する(MyWi編)

先日は Nexus One を親にしたテザリングでiPhoneを使ってましたが今回は逆になります。
この方法は iPhoneをjailbreakする必要があり、Nexus OneもカスタムROMにしなくてはならないため、積極的にオススメはできません。
が、既に条件を満たしているのであれば試してみるのもよいかと思います。

さて、Nexus One はカスタムROM CyanogenMod 5.0 beta3以降にします。 (参考)
それだけで準備OKです。

iPhoneのほうはJBアプリのMyWi (No Rock)というのをCydiaから入れます。しかしながらこれは有料で$9.99かかります。

MyWiはadhocネットワークでテザリングを可能にするアプリで、テザリングは純正同様にバックグラウンドで動作するので、テザリング中でも電話やネットワークが通常通りに利用できます。


また、純正テザリングは3.1.2で使えなくなってしまいましたが、MyWiをインストールすることにより再び有効化することが可能となりますので、そのために購入するのも悪くないかもしれません。

MyWiを起動したらSSIDとWEPを適当に設定して ON にします。

するとNexus Oneの無線LAN設定のところにSSIDが現れます。

WEPキーいれて接続するだけでOK。

さて、このCM5.0で実装されてるadhocネットワークのコードをみて比較してみますと、オリジナルのコードではどうやら意図的にadhocを無視して、関連するコードも省いてるようです。

抜粋
@@ -1147,9 +1167,10 @@
* Ignore adhoc, enterprise-secured, or hidden networks.
* Hidden networks show up with empty SSID.
*/
- if (AccessPointState.isAdhoc(scanResult)
- || TextUtils.isEmpty(scanResult.SSID)) {
- continue;
+ //if (AccessPointState.isAdhoc(scanResult)
+ // || TextUtils.isEmpty(scanResult.SSID)) {
+ if (TextUtils.isEmpty(scanResult.SSID)) {
+ continue;
}


大して難しくない内容なので移植してCM不要でできないかやってみようとしましたが、frameworkまで入れ替えねばならなくなり、この部分だけピンポイントで入れ替えるのが難しそうなので断念しました。


そんなわけで、今はiPhoneにSBMのSIMを差して2台を1枚のSIMで運用しております。
Nexus OneでのSBMのMMSがどうにも安定しないのでしばらくこの体制でいきます。

Tuesday, February 2, 2010

mobile power supply items

携帯端末を複数持つようになったので。

僕のような人間はスマートフォンの電池がきれると死にます。
そんなわけで、補助電源をいつも持ち歩くことにしています。

まず、旅行や超長時間の移動の際には eneloopのmobile booster KBC-L2AS

去年の暮に新型がでてiPhoneに正式対応しました。逆に旧型のだと充電できないことがあるらしいです。
長距離じゃなくても、GPSやWiFi,3Gを駆使した使い方をする時にも活躍します。
たとえば、iPhoneをGPSロガーとして使用する時とか。

次に不意に電池がやばくなってしまったときのために、eneloopのmobile stick booster

なんといっても場所をとらないのがよいです。
iPhone, Nexus Oneともに充電可能ですが、単体で電池を充電できないないので注意。
とにかくいつもカバンに忍ばせておけば、いつバッテリーがやばくなっても安心できます。

ケーブルはリール式のコンパクトなやつがおすすめですね。
iPhoneのモノは多数発売されてるのでいいとして、Nexus OneのMicro-USB Bタイプのものはミヤビックスのものしか見つかりませんでした。


また、Micro-USB変換アダプタをつかえばMini-USBのものが使えます。

Mini-USB Bのケーブルは世の中に大量に溢れいてるのでこれも一つ持っておくといいかもしれません。
ただし、中には粗悪な変換ケーブルもあったりするので気を付けた方がいいかもしれません。
これを経由したmobile stick boosterでのNexus One充電は問題なくできました。

そんなわけで、わたくしは KBC-D1ASとケーブルx2、変換アダプタをいつも持ち歩いています。
KBC-D1ASでアルカリ乾電池が使えればさらによいのですが…。パッケージの説明書によると効率はeneloopより落ちるらしいです。
緊急用ならアリかもしれません。