Java-HttpClient-Fehler für die kein SSL-Zertifikat gefunden, das Zertifikat als String innerhalb des Codes?

Ich bin ein bisschen verwirrt bei dem Versuch, zu verwenden HttpClient rufen Sie eine https-site, die verwendet ein selbstsigniertes Zertifikat. Ich habe den code wie unten, die es mir ermöglicht, den Anruf zu tätigen, aber dann bin ich immer die Fehler, wie javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: No trusted certificate found heruntergeladen habe ich das Zertifikat von meinem browser und verstehen kann ich importieren Sie Sie in die keystore-aber ich würde lieber legen Sie Sie einfach in den code und verwenden Sie es auf diese Weise, gibt es eine Möglichkeit, dies zu tun?

    HttpClient client = new HttpClient();

    EasySSLProtocolSocketFactory easySSLProtocolSocketFactory = new EasySSLProtocolSocketFactory();
    Protocol https = new Protocol("https", easySSLProtocolSocketFactory,
            443);
    Protocol.registerProtocol("https", https);

    BufferedReader br = null;

    String responseString = "";

    GetMethod method = new GetMethod(path);

    int returnCode = client.executeMethod(method);
  • Warum auf der Erde würden Sie es in den code? Was passiert, wenn das server-Zertifikat abgelaufen ist und Sie einen neuen bekommen? Tun Sie das nicht.
InformationsquelleAutor Rick | 2011-06-23
  1. 4

    Vorausgesetzt, das Zertifikat ist im PEM-format. Sie einbetten zu können in den code und verwenden Sie BouncyCastle's PEMReader machen es zu einem X509Certificate Instanz. Sobald dies geschehen ist, erstellen Sie eine KeyStore Instanz im Speicher und setzen Sie das X. 509 Zertifikat. Anschließend instanziieren Sie ein neues SSLContext mit, dass KeyStore wie die trust store und machen Sie Ihr HTTP-client benutzen.

    Dieser würde dann so Aussehen (nicht ausprobiert, denken Sie daran, schließen Sie Leser an und fangen Sie die Ausnahmen...):

    PEMReader pemReader = new PEMReader(new StringReader("----- BEGIN ......");
X509Certificate cert = (X509Certificate) pemReader.readObject();

KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
ks.load(null, null);
ks.setCertificateEntry("some name", cert);

TrustManagerFactory tmf = TrustManagerFactory.getInstance(
    TrustManagerFactory.getDefaultAlgorithm());
tmf.init(ks);

SSLContext sc = SSLContext.getInstance("TLS");
sc.init(null, tmf.getTrustManagers(), null);

    Verwenden Sie dann diese SSLContext für Ihre Verbindung. Sie können dies tun, mit Apache HttpClient ist SSLSocketFactory wenn Sie mit der version 4.x (oder diese wenn Sie mit version 3.x). Ich würde vorschlagen, mit Apache HttpClient 4.x heute.

    • danke, das ist große info, ich bin nicht vertraut mit SSLSocketFactory und bin kämpfen, um zu finden, ein Beispiel, ich vermute, es würde ersetzen EasySSLProtocolSocketFactory in meinem code? Irgendwelche Tipps, dies zu benutzen ist sehr geschätzt
    • eigentlich denke ich, ich importierte die falsche SSL-factory (aus Java.net.ssl.. ich sehe, ich brauche den Apache jetzt
    • könnte Sie klären, welche SSLContext-Paket, das Sie verwenden, sorry bin gerade ein bisschen verwirrt, als es mehr als 1
    • Die SSLSocketFactory ich gelinkt hast ist für den Apache HttpClient 4. Sie scheinen mit Apache HttpClient 3 (in dem Fall könnte man die eine aus jSSLutils). Wenn Sie nicht den Umgang mit legacy-code, der verwendet HttpClient-3, könnte man genauso gut ein upgrade auf die version 4, ab version 3 wird nicht mehr unterstützt. (Ich spreche von javax.net.ssl.SSLContext)
    InformationsquelleAutor Bruno
  2. 2

    Gebäude auf Antwort von Alexander Chzhen und für HttpClient 4.3 ich zuerst einen Kontext erstellen, der vertraut allen:

    SSLContextBuilder sslctxb = new SSLContextBuilder();

sslctxb.loadTrustMaterial(KeyStore.getInstance(KeyStore.getDefaultType()),
                          new TrustSelfSignedStrategy() {
  @Override
  public boolean isTrusted(X509Certificate[] chain,
                           String            authType)
    throws CertificateException {
    return true;
  }
});

SSLContext sslctx = sslctxb.build();

    Dann die client-generator:

    HttpClientBuilder hcb = HttpClients.custom();

    ist und ich nur den Rahmen. Ich glaube nicht, verwenden setSSLSocketFactory, weil es behindert setHostnameVerifier unten:

    hcb.setSslcontext(sslctx);

    Schließlich habe ich ein hostname verifier überprüft dann alle:

    hcb.setHostnameVerifier(new X509HostnameVerifier() {
  @Override
  public void verify(String host, SSLSocket ssl)
    throws IOException {
  }

  @Override
  public void verify(String host, X509Certificate cert)
    throws SSLException {
  }

  @Override
  public void verify(String host, String[] cns, String[] subjectAlts)
    throws SSLException {
  }

  @Override
  public boolean verify(String hostname, SSLSession session) {
    return true;
  }
});

    Schließlich bauen die AUFTRAGGEBER:

    HttpClient c = hcb.build();
    • +1 weil das funktioniert, während Alexander ' s Lösung nicht
    • das problem mit diesen beiden Lösungen ist, dass Sie annehmen beliebiger self-signed Zertifikat (das ist mehr oder weniger das gleiche wie das deaktivieren der Zertifikats-Prüfung insgesamt).
    InformationsquelleAutor MartinMarco
  3. 1

    Wenn Sie möchten, akzeptieren Sie nur das Zertifikat aber nicht alle selbst signierten Zertifikate, dann sollten Sie laden Sie das Zertifikat herunter und speichern Sie die pem Datei irgendwo.

    Jetzt können Sie diesen code verwenden, um das laden der pem - Datei, erstellen Sie eine neue truststore mit diesem Zertifikat, und verwenden Sie die truststore-für Ihren HttpClient.

    //use java. ... .X509Certificate, not javax. ... .X509Certificate
import java.security.cert.X509Certificate;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;

@Test
public void testSslCertificate()
        throws IOException, KeyStoreException, NoSuchAlgorithmException,
               CertificateException, KeyManagementException {

    X509Certificate cert;
    try (FileInputStream pemFileStream = new FileInputStream(newFile("your.pem"))) {
        CertificateFactory certFactory = CertificateFactory.getInstance("X509");
        cert = (X509Certificate) certFactory.generateCertificate(pemFileStream);
    }

    //create truststore
    KeyStore trustStore = KeyStore.getInstance("JKS");
    trustStore.load(null); //create an empty trustore

    //add certificate to truststore - you can use a simpler alias
    String alias = cert.getSubjectX500Principal().getName() + "["
            + cert.getSubjectX500Principal().getName().hashCode() + "]";
    trustStore.setCertificateEntry(alias, cert);

    //configure http client
    TrustManagerFactory trustManagerFactory =
       TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    trustManagerFactory.init(trustStore);

    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, trustManagerFactory.getTrustManagers(), null);

    HttpClientBuilder httpClientBuilder = HttpClientBuilder.
                                          create().setSslcontext(sslContext);

    try (CloseableHttpClient httpClient = httpClientBuilder.build()) {
        HttpGet httpGetRequest = new HttpGet("https://yourServer");
        try (CloseableHttpResponse httpResponse =
                            httpClient.execute(httpGetRequest)) {
            Assert.assertEquals(200,
                                httpResponse.getStatusLine().getStatusCode());
        }
    }
}
    InformationsquelleAutor Ralph
  4. 0

    Dies ist, wie Apache HttpClient 4.3, akzeptieren, selbst-signierte Zertifikate:

    HttpClientBuilder cb = HttpClientBuilder.create();
SSLContextBuilder sslcb = new SSLContextBuilder();
sslcb.loadTrustMaterial(KeyStore.getInstance(KeyStore.getDefaultType()),
                        new TrustSelfSignedStrategy());
cb.setSslcontext(sslcb.build());
HttpClient client = cb.build()

    Nun zum ausführen von POST-oder GET-Anfragen verwenden Sie standard Methode execute:

    HttpResponse response = client.execute(...);

    Erinnerung: Sie sind verwundbar, wenn Sie Vertrauen, selbst-signiertes Zertifikat.

    • Immer diese Ausnahme, wenn ich mit dem code: "Exception in thread "main" javax.net.ssl.SSLException: java.lang.RuntimeException: Unexpected error: java.Sicherheit.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty"
    • Akzeptieren alle selbst signierten Zertifikate nicht sicher; ziemlich Niederlagen der Zweck der Verwendung von SSL in den ersten Platz.
    InformationsquelleAutor Alexander Chzhen
  5. 0

    In vielen Situationen, Zertifikat-pinning könnte besser sein, das hardcoding einem bestimmten Zertifikat.

    Ja, Sie können hartcodieren ein Zertifikat in Ihren code, und das wird funktionieren und sicher zu sein. Es ist ein durchaus vernünftiger Ansatz. Jedoch, gibt es einige Nachteile. Ein Fallstrick ist, dass schließlich das Zertifikat abläuft, und dann wird Ihre app wird nicht mehr funktionieren. Auch, wenn Sie jemals wollen, ändern Sie Ihre privaten Schlüssel, werden Sie nicht in der Lage.

    Daher in vielen Szenarien, mit Zertifikats-pinning ist flexibler und vorzuziehen. Sehen hier für Referenzen, wie zu implementieren Zertifikat-pinning.

    InformationsquelleAutor D.W.
Schreibe einen Kommentar