Ошибка Java HttpClient для сертификата SSL не найдена, используя сертификат как строку в коде?

Я немного смущен, пытаясь использовать HttpClient для вызова https-сайта, который использует самозаверяющий сертификат. У меня есть код, как показано ниже, что позволяет мне сделать вызов, но затем я получаю ошибку, как javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: No trusted certificate found Я загрузил сертификат из своего веб-браузера и понимаю, что могу импортировать его в хранилище ключей, но я бы предпочел просто поместить его в код и использовать его таким образом, есть ли способ сделать это?

    HttpClient client = new HttpClient();

    EasySSLProtocolSocketFactory easySSLProtocolSocketFactory = new EasySSLProtocolSocketFactory();
    Protocol https = new Protocol("https", easySSLProtocolSocketFactory,
            443);
    Protocol.registerProtocol("https", https);

    BufferedReader br = null;

    String responseString = "";

    GetMethod method = new GetMethod(path);

    int returnCode = client.executeMethod(method);

5 ответов


Предположим ваш сертификат в формате PEM. Вы можете встроить его в код и использовать после установки BouncyCastle ' s PEMReader чтобы превратить его в X509Certificate экземпляра. Как только это будет сделано, создайте KeyStore экземпляр в памяти и поместите в него этот сертификат X. 509. Затем создайте экземпляр нового SSLContext такого KeyStore как хранилище доверия и сделать ваш HTTP-клиент использовать его.

это будет выглядеть так (не пробовал, не забудьте закрыть читатели и поймать исключения...):

PEMReader pemReader = new PEMReader(new StringReader("----- BEGIN ......");
X509Certificate cert = (X509Certificate) pemReader.readObject();

KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
ks.load(null, null);
ks.setCertificateEntry("some name", cert);

TrustManagerFactory tmf = TrustManagerFactory.getInstance(
    TrustManagerFactory.getDefaultAlgorithm());
tmf.init(ks);

SSLContext sc = SSLContext.getInstance("TLS");
sc.init(null, tmf.getTrustManagers(), null);

тогда используйте это SSLContext для подключения. Вы можете сделать это с помощью Apache HttpClient, который это SSLSocketFactory если вы используете версию 4.x (или этой если вы используете версию 3.икс.) Я бы предложил использовать Apache HttpClient 4.x в наши дни.


основываясь на ответе Александр Чжен и для HttpClient 4.3 я сначала создаю контекст, который доверяет всем:

SSLContextBuilder sslctxb = new SSLContextBuilder();

sslctxb.loadTrustMaterial(KeyStore.getInstance(KeyStore.getDefaultType()),
                          new TrustSelfSignedStrategy() {
  @Override
  public boolean isTrusted(X509Certificate[] chain,
                           String            authType)
    throws CertificateException {
    return true;
  }
});

SSLContext sslctx = sslctxb.build();

затем построитель клиентов:

HttpClientBuilder hcb = HttpClients.custom();

и я только в контексте. Я не использую setSSLSocketFactory потому что это будет мешать setHostnameVerifier ниже:

hcb.setSslcontext(sslctx);

наконец-то я установил верификатор имени хоста, который проверяет все:

hcb.setHostnameVerifier(new X509HostnameVerifier() {
  @Override
  public void verify(String host, SSLSocket ssl)
    throws IOException {
  }

  @Override
  public void verify(String host, X509Certificate cert)
    throws SSLException {
  }

  @Override
  public void verify(String host, String[] cns, String[] subjectAlts)
    throws SSLException {
  }

  @Override
  public boolean verify(String hostname, SSLSession session) {
    return true;
  }
});

наконец-то создать клиент:

HttpClient c = hcb.build();

если вы хотите принять только этот один сертификат, но не все самозаверяющие сертификаты, то вы должны загрузить сертификат и сохранить куда-то.

теперь вы можете использовать этот код для загрузки pem файл, создайте новый truststore с этим сертификатом и используйте truststore для вашего HttpClient.

//use java. ... .X509Certificate, not javax. ... .X509Certificate
import java.security.cert.X509Certificate;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;

@Test
public void testSslCertificate()
        throws IOException, KeyStoreException, NoSuchAlgorithmException,
               CertificateException, KeyManagementException {

    X509Certificate cert;
    try (FileInputStream pemFileStream = new FileInputStream(newFile("your.pem"))) {
        CertificateFactory certFactory = CertificateFactory.getInstance("X509");
        cert = (X509Certificate) certFactory.generateCertificate(pemFileStream);
    }

    //create truststore
    KeyStore trustStore = KeyStore.getInstance("JKS");
    trustStore.load(null); //create an empty trustore

    //add certificate to truststore - you can use a simpler alias
    String alias = cert.getSubjectX500Principal().getName() + "["
            + cert.getSubjectX500Principal().getName().hashCode() + "]";
    trustStore.setCertificateEntry(alias, cert);

    //configure http client
    TrustManagerFactory trustManagerFactory =
       TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    trustManagerFactory.init(trustStore);

    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, trustManagerFactory.getTrustManagers(), null);

    HttpClientBuilder httpClientBuilder = HttpClientBuilder.
                                          create().setSslcontext(sslContext);

    try (CloseableHttpClient httpClient = httpClientBuilder.build()) {
        HttpGet httpGetRequest = new HttpGet("https://yourServer");
        try (CloseableHttpResponse httpResponse =
                            httpClient.execute(httpGetRequest)) {
            Assert.assertEquals(200,
                                httpResponse.getStatusLine().getStatusCode());
        }
    }
}

вот как сделать Apache HttpClient 4.3, который принимает самозаверяющие сертификаты:

HttpClientBuilder cb = HttpClientBuilder.create();
SSLContextBuilder sslcb = new SSLContextBuilder();
sslcb.loadTrustMaterial(KeyStore.getInstance(KeyStore.getDefaultType()),
                        new TrustSelfSignedStrategy());
cb.setSslcontext(sslcb.build());
HttpClient client = cb.build()

теперь для выполнения POST или GET запросов используйте стандартный метод execute:

HttpResponse response = client.execute(...);

напоминание: вы уязвимы, когда доверяете самозаверяющему сертификату.


во многих ситуациях закрепление сертификата может быть предпочтительнее жесткого кодирования конкретного сертификата.

Да, вы можете жестко закодировать сертификат в свой код, и это будет работать и быть безопасным. Это вполне разумный подход. Однако у него есть некоторые недостатки. Одна из ловушек заключается в том, что в конечном итоге этот сертификат истечет, а затем ваше приложение перестанет работать. Кроме того, если вы хотите изменить свой секретный ключ, вы не сможете.

таким образом, в во многих сценариях использование закрепления сертификата является более гибким и может быть предпочтительным. См.здесь для ссылок о том, как реализовать закрепление сертификата.