借助网络安全配置功能，应用可以在一个安全的声明性配置文件中自定义其网络安全设置，而无需修改应用代码。您可以针对特定网域和特定应用配置这些设置。此功能的主要特性如下所示： 自定义信任锚：针对应用的安全连接自定义哪些证书授权机构 (CA) 值得信赖。例如，信任特定的自签名证书或限制应用信任的公共 CA 集。 仅调试替换：在应用中以安全方式调试安全连接，而不会增加安装设备的风险。 选择停用明文流量：防止应用意外使用明文流量。 证书固定：限制应用仅安全连接到特定的证书。 添加网络安全配置文件 网络安全配置功能使用一个 XML 文件，您可以在该文件中指定应用的设置。您必须在应用的清单中添加一个指向该文件的条目。以下代码摘自一个清单文件，演示了如何创建此条目： <?xml version="1.0" encoding="utf-8"?> <manifest ... > <application android:networkSecurityConfig="@xml/network_security_config" ... > ... </application> </manifest> 自定义可信 CA 应用可能需要信任自定义的 CA 集，而不是平台默认值。出现此情况的最常见原因包括： 连接到具有自定义证书授权机构（如自签名或在公司内部签发的 CA）的主机。 仅限您信任的 CA（而不是每个预装 CA）。 信任未包含在系统中的其他 CA。 默认情况下，来自所有应用的安全连接（使用 TLS 和 HTTPS 之类的协议）均信任预装的系统 CA，而以 Android 6.0（API 级别 23）及更低版本为目标平台的应用默认情况下还会信任用户添加的 CA 存储区。应用可以使用 base-config（应用范围的自定义）或 domain-config（针对每个网域的自定义）自定义自己的连接。 配置自定义 CA 假设您要连接到使用自签名 SSL 证书的主机，或者连接到其 SSL 证书由您信任的非公共 CA（如公司的内部 CA）颁发的主机。 res/xml/network_security_config.xml： <?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config> <domain includeSubdomains="true">example.

keytool 是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书，用于（通过数字签名）自我认证（用户向别的用户/服务认证自己）或数据完整性以及认证服务。它还允许用户储存他们的通信对等者的公钥（以证书形式）。（摘自百度百科）​ Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥（key）和证书（certificates）存在一个称为keystore的文件中 在keystore里，包含两种数据： 密钥实体（Key entity）：密钥（secret key）又或者是私钥和配对公钥（采用非对称加密） 可信任的证书实体（trusted certificate entries）：只包含公钥​ 还有一个常用的证书生成工具 openssl， 和 keytool 一样可以生成和管理证书，常用于生成自签名证书，转换证书等，以后详细讲keytool常用命令 1、查看帮助命令 keytool -help 查看某个命令的具体选项，如genkeypair keytool -genkeypair -help 2、生成密钥对 keytool -genkeypair -alias tomcat -keyalg RSA -keysize 2048 -validity 365 -storetype jks -keystore keystore.jks -alias 别名，每个密钥库可以存储多个条目，条目即一个私钥加证书（公钥），每个条目用别名区分管理-keyalg 密钥算法名称，可选 DSA，RSA，默认不填为DSA-keysize 密钥位大小，1024或2048，默认2048-validity 证书有效天数，默认90天，单位：天-storetype 密钥库类型，目前可以生成JKS和PKCS12，默认为JKS-keystore 密钥库名称，JKS类型的，后缀为 .jks 或 .keystore，PKCS12类型的，后缀为 .pfx 或 .p12​3、查看密钥库 keytool -list -storetype JKS -keystore keystore.