java工程调用第三方https接口异常问题汇总 |
您所在的位置:网站首页 › crt证书转jks › java工程调用第三方https接口异常问题汇总 |
|
1、需求 java工程内部需要调用其他工程或第三方服务接口时,对方提供的是https方式的接口,此时java工程充当客户端的角色。那么有可能在调用时产生诸多问题,总结来看基本上是https建立连接的过程中,证书异常导致。 2、问题现象 问题1:SSL握手异常,报错信息如下: ****javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative names presentat sun.security.ssl.Alerts.getSSLException(Alerts.java:192)问题2:ip不匹配,报错信息如下: javax.net.ssl.SSLHandshakeException: Caused by: java.security.cert.CertificateException: No subject alternative names matching IP address 192.168.1.1 found at sun.security.util.HostnameChecker.matchIP(Unknown Source) at sun.security.util.HostnameChecker.match(Unknown Source) at sun.security.ssl.X509TrustManagerImpl.checkIdentity(Unknown Source) at sun.security.ssl.X509TrustManagerImpl.checkIdentity(Unknown Source) at sun.security.ssl.X509TrustManagerImpl.checkTrusted(Unknown Source) at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(Unknown Source) ... 12 more问题3:证书不受信任,报错信息如下: org.springframework.web.client.ResourceAccessException: I/O error on GET request for "https://localhost:8100/customer/session/1b63e4b8-a91b-4742-b70a-8f113271212": sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target; nested exception is javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target3、问题分析 首先大家要理解SSL的基本工作原理,就是客户端(服务调用方)发起https请求,与服务器(服务提供方)进行SSL握手(类似TCP的三次握手),在这个过程中,服务器需要把它的证书发给客户端,客户端判断证书是否合法有效,如果是则利用证书里的公钥对后续请求的应用数据进行加密;(这里的描述进行了简化,实际过程是客户端和服务器要协商一个对称秘钥,后续的加密都是用这个对称秘钥进行加密传输的,具体流程细节读者可以自行查询SSL相关资料)那么如果证书有问题,客户端就会异常或报错。(如果大家对证书、公钥、私钥有疑问的话,可以自行查询非对称秘钥加密算法相关资料) 上述问题中的1和2都是因为证书中缺少相应的信息导致异常。问题1产生的原因是由于java工程在调用服务方接口时是通过ip地址访问的,同时服务方提供的证书里没有标识ip地址的扩展信息,所以产生了问题1的报错;问题2产生的原因是证书内有标识ip地址的扩展信息,但是跟客户端访问的地址不匹配,所以产生了问题2的报错。 上述问题3是因为服务方提供的证书不是受信任的CA机构签发导致的。CA的工作原理简单描述如下:首先用户向CA机构申请证书,然后CA机构生成用户证书,再利用非对称加密算法对证书进行加密签名,这样这张用户证书就是受信任的了。那么全球有很多公认CA机构,如verisign、cfca等,如下图: image一般操作系统会默认存储这些公认的CA机构信息,所以只要是由这些机构签发的证书,在发起https访问时都不会有问题,如果不是这些机构签发的证书,如自签发的证书,那么在发起https访问时,就会有异常,如浏览器通常会出现如下的提示: image4、解决思路 针对问题3,是因为服务方提供的证书不是CA机构签发的,所以只需要将服务方提供的证书导入进java默认的ca认证库中即可,执行如下命令: keytool -importcert -file test.crt -alias test -keystore $JAVA_HOME/jre/lib/security/cacerts注:其中test.crt为服务方提供的证书名称,test为证书内的别名。 针对问题1和2,是因为服务方提供的证书缺少信息导致,如果服务方的程序是我们自己可控的,那么可以重新申请证书,添加扩展信息即可,如下: (1)、利用openssl工具生成秘钥和证书,如果没有OpenSSL,需要另行安装,首先需要复制证书配置文件到当前目录下: cp /etc/pki/tls/openssl.cnf .(2)、给该配置文件增加证书扩展字段如下: echo '[ subject_alt_name ]' >> openssl.cnfecho 'subjectAltName = DNS: localhost,DNS:test.com.cn, IP: 192.168.1.1'>> openssl.cnf注:第二个DNS及IP的配置要根据实际生成证书对应的服务进行修改,此处以web服务在测试环境上生成证书距离。 (3)、根据以上配置文件生成证书和秘钥 openssl req -x509 -nodes -newkey rsa:1024 -config openssl.cnf -extensions subject_alt_name -keyout private.key -out selfsigned.pem -subj '/C=cn/ST=beijing/L=beijing/O=beijing/OU=beijing/CN=test.com.cn/[email protected]' -days 3650注:其中标红字体需要根据实际服务进行修改。 5、举例说明 背景:有2个java工程,1个是客户端工程,部署在服务器192.168.1.2上;1个是服务器工程,部署在服务器192.168.1.2上,服务器工程提供https的接口供客户端工程使用,接口通过ip地址访问,不通过域名。 服务器工程配置: 首先需要给服务器工程申请证书,如果不想花钱,那就自己签发一张证书,自签发具体操作需要在一台安装openssl和jdk的操作系统上进行,如下(以linux为例): (1)登录Linux后,复制ssl配置文件到当前目录下: cp /etc/pki/tls/openssl.cnf .(2)给该配置文件增加证书扩展字段: echo '[ subject_alt_name ]' >> openssl.cnf echo 'subjectAltName = DNS: localhost,DNS:test, IP: 192.168.1.2'>> openssl.cnf注:上面命令中的DNS字段可以为空,IP要根据你得服务器ip进行修改。 (3)根据以上配置文件生成证书和秘钥: openssl req -x509 -nodes -newkey rsa:1024 -config openssl.cnf -extensions subject_alt_name -keyout private.key -out selfsigned.pem -subj '/C=CN/ST=Beijing/L=Beijing/O=Baidu/OU=Search/CN=test/[email protected]' -days 3650注:CN:应该填写的是服务器的域名,但此处服务端是通过ip地址访问,所以随便填写;days 3650表示证书的有效期为10年,过期一样会报错; (4)检查生成的证书是否有问题,如果没有报错则进行下一步: openssl x509 -in selfsigned.pem -text -noout(5)转换证书格式为java可读的pkcs12格式,并生成秘钥库: openssl pkcs12 -export -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -in selfsigned.pem -inkey private.key -name test -out keystore.p12注:命令会提示输入密码,输入“123456”;-name后表示证书的名字,记住这个名字,后面java配置文件需要用到;-out 后表示秘钥库的名字。 (6)利用java自带的keytool工具生成java的秘钥库,并将上一步生成的秘钥库导入到该新建的秘钥库: keytool -importkeystore -destkeystore keystore.jks -deststoretype PKCS12 -srcstoretype PKCS12 -srckeystore keystore.p12注:命令会提示输入密码,输入“123456”;keytool工具在java安装目录的bin目录下; 此步骤会生产一个keystore.jks的文件,该文件为java认识的秘钥库格式文件,后续会导入至服务端工程里。 (7)检查新生成的秘钥库,如果没有问题则进行下一步: keytool -list -v -keystore keystore.jks注:提示输入密码,输入“123456” (8)从新生成的秘钥库中导出证书: keytool -export -keystore keystore.jks -alias test -file test.crt注:其中-alias后面要填写证书的别名。提示输入密码,输入“123456”; 至此,完成了服务端自签名证书的签发。下面需要配置服务端工程使用https代替http对外提供接口。此处以spring boot工程举例,修改工程application.yam配置文件,添加一下内容: server: ssl: key-store-type: PKCS12 key-store: 'classpath:keystore.jks' key-store-password: 123456 key-alias: test注:上面的key-alias后面要跟上面申请证书时填写的证书名称。 然后需要将上面生成的keystore.jks文件拷贝至工程内的src/main/resources路径下,至此完成了服务端的所有配置,可以通过浏览器或swagger验证htpps接口是否成功。 客户端工程配置: 需要将上面在服务端生成的证书文件test.crt,拷贝至客户端工程所在服务器的java信任证书路径下: keytool -importcert -file test.crt -alias test -keystore $JAVA_HOME/jre/lib/security/cacerts注:提示输入密码,输入“changeit”,此密码为java自带秘钥库cacerts的默认密码; 6、总结 至此,已经完成了服务端和客户端所有的配置,如果以上每一步的命令都成功执行,那么恭喜您,java工程客户端调用服务器端https接口已经可以成功返回数据了。 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |