Каков наилучший способ сгенерировать запрос подписи сертификата с помощью AndroidKeyStoreProvider?

Question

Я прочитал эту статью https://developer.android.com/training/articles/keystore.html.

Хорошо использовать для создания пары ключей. Однако он не говорит о том, как создать базу запросов подписывания сертификата для ключей генерации.

Из моего исследования, чтобы генерировать CSR в java, образцы из Интернета обычно используют пакет sun.* или библиотеку BouncyCastle. Похоже, что нет возможности генерировать CSR со стандартным API java.sercurity. Я прочитал это Possible to generate CSR using java.security without sun packages or external library?. Кажется, это правда.

У меня нет выбора, кроме как использовать BouncyCastle? Трудно представить, что разработчики Android не рассматривают такое использование.

Кстати, в статье также говорится, что:

Generating a new PrivateKey requires that you also 
specify the initial X.509 attributes that the self-signed certificate 
will have. You can replace the certificate at a later time with a certificate 
signed by a Certificate Authority 

Предположим, что я, наконец, получить сертификат, подписанный центром сертификации. Что именно я должен сделать, чтобы «заменить сертификат позже»?

Answer 1

Что касается создания CSR (запроса знака сертификата) на телефоне Android, я думаю, что вместо этого использовать Spongycastle. Это андроидный порт Bouncycastle.

Предположим, что я наконец получил сертификат, подписанный центром сертификации. Что именно мне нужно сделать, чтобы «заменить сертификат позже»?

После того, как у вас есть фактический подписанный сертификат, который вы должны получить из центра сертификации (CA), вам больше не нужна ваша CSR; вы должны просто сохранить подписанный сертификат на телефоне. Где их сохранить - я думаю, вы можете получить помощь here.