20190726 ApacheHttpClient-自签证书与系统证书共存

DeskPins2024-02-13 5:07

要使用HTTPClient-4.5.2做一些连接;但是有的域名是使用的自签证书,有的是CA签发证书;同时又不想跳过证书验证又想使用一个HTTPClient;

如果单单实现验证只使用自签证书或者只使用CA证书的域名比较简单;前者只需要new loadTrustMaterial(File file, char[] storePassword).

首先,不妨思考下2分钟:自签证书的12306网站 以前的12306网站使用的就是自签证书,它会提示你下载安装根证书以确保链接的安全,是为什么呢?

首先需要明白jks是什么,HTTPS连接建立过程。

1.jks就是java keyStore,keyStore是个啥东西。不同场景下意义是不同的;在HTTPClient指双向证书验证时需要这个(loadKeyStoreManager),含有公钥和私钥,keyStore一般是用密码保护的,私钥本身自己也是一个密码.

https://stackoverflow.com/questions/23202046/what-is-keystore

2.数字签名技术,CA使用自己的证书私钥加密一个普通企业和机构的一个公钥,这个过程就是签名,签名的结果就是这个企业域名(或软件)的数字证书,服务器把这个东西下发给浏览器,浏览器使用预置在电脑系统的根证书或者浏览器自己的证书库,但基本都是前面那些CA的根证书,用它们的公钥去验证发过来的数字证书是否CA为这个域名签发的,数字证书签发和验证这一过程用到非对称密钥加密;验证通过,浏览器安全地随机一些字符并使用发过来的证书的公钥进行加密,服务器收到后用它的私钥进行解密;然后服务器和浏览器之间就使用这个字符来加密它们之间的流量,这个是对称密钥加密;即加密和解密用一样的密钥或者可以相互计算出来。

大致的流程是这样,有些不太严谨,比如根证书验证数字签名的方法是加密服务器发过来的消息摘要和它自己带过来的签名是否一致,为何需要消息摘要呢(比如MD5)?因为RSA的同态性。

3.TLS是SSL的演进版本,SSL有很多Bug都是基于运输层的安全协议。https://www.differencebetween.com/difference-between-ssl-and-vs-tls/

知道了这些,基本可以明白,可以使用签发自签证书的根证书的公钥来验证服务器发送过来的自签证书了。

从keyStore中取出根证书,如果你不知道根证书的别名,可以遍历 keyStore.aliases()得出来。https://stackoverflow.com/questions/26711731/read-public-key-from-file-in-keystore

java 复制代码 
 public static void init() throws Exception {
        rootCerStream = new FileInputStream(loadResourceFile(KEY_STORE_FILE_NAME));
        keyStore = KeyStore.getInstance("JKS");
        keyStore.load(rootCerStream,KEY_STORE_PASSWORD.toCharArray());
        rootCer =  keyStore.getCertificate(ROOT_CER_ALIAS);
    }

获取一个SSLContext来给HTTPClientBuilder来setSSLContext,因为需要SSLConnectionSocketFactory来创建SSL socket

java 复制代码 
    public static SSLContext getMixSSLContext() throws Exception{
        SSLContext sslContext = SSLContextBuilder.create().loadTrustMaterial(null, new TrustStrategy() {
            @Override
            public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                for (X509Certificate cer : chain){
                    try {
                        cer.verify(rootCer.getPublicKey());
                    } catch (Exception e){
                        continue;
                    }
                    return true;
                }
                return false;
                //如果不想验证证书,直接return true就行了
            }
        }).build();
        return sslContext;
    }

同时有些时候,可能需要将 builder.setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE); 比如你直接访问了域名IP,或者你直接访问了ELB而不是那个签发域名,就会提示错误。当然最好的写法是使用new DefaultHostnameVerifier() ps:感觉还是SSLContextBuilder相当方便

java 复制代码 
import org.apache.http.ssl.SSLContextBuilder;
import org.apache.http.conn.ssl.DefaultHostnameVerifier;
import org.apache.http.conn.ssl.NoopHostnameVerifier;
....
  builder.setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE);
  builder.setSSLHostnameVerifier(new DefaultHostnameVerifier());

当然还有一种解决方法就是将那根证书预置到java的CACert中

https://stackoverflow.com/questions/11143360/ssl-certificate-verification-in-java

了解些背景知识,还有源码,仔细阅读源码,也不是很难的。

相关推荐
en-route1 小时前
Http请求中的特殊字符
spring·http
代码搬运媛11 小时前
HTTP REST API、WebSocket、 gRPC 和 GraphQL 应用场景和底层实现
websocket·http·graphql
不认输的西瓜17 小时前
前端网络知识——HTTP和HTTPS
http·https
ZzMemory1 天前
1.3W字详解大厂经典面试题:输入URL回车之后发生了什么?
前端·http·面试
Bin努力加餐饭1 天前
【HTTP版本演变】
http
小徐不徐说1 天前
超详细讲解:TCP / UDP / HTTP / HTTPS 四种常见协议
c++·网络协议·tcp/ip·http·https·udp·网络编程
不想写bug呀2 天前
HTTP协议介绍
网络·网络协议·http
DexterLien2 天前
API Gateway HTTP API 控制客户端访问 IP 源
http·gateway·aws·lambda·authorizer
是阿建吖!2 天前
【Linux | 网络】应用层(HTTP)
linux·网络·http
Arva .2 天前
HTTP常见误区
网络·网络协议·http
热门推荐
01全球最强模型Grok4,国内已可免费使用!(附教程)02Cursor Claude 模型无法使用的解决方法03KGG转MP3工具|非KGM文件|解密音频04【2025.7.18】更新vscode后所有.vue文件template标签后报红的临时解决办法,Vue - Official 插件3.0.2导致05【无标题】06集群聊天服务器---MySQL数据库的建立07突破限制:使用 Claude Code Proxy 让 Claude Code 自由连接任意模型08绿色建筑新态势:楼宇自控助力能效提升,推动成本优化新路径09使用Ruby接入实时行情API教程10Claude Code 最新版已经支持 Windows 安装使用!