it-swarm.com.ru

HttpGet с HTTPS: SSLPeerUnverifiedException

Используя HttpClient , я получаю следующую ошибку при попытке установить связь через HTTPS:

Исключение в потоке "main" javax.net.ssl.SSLPeerUnverifiedException: узел не аутентифицирован.

Вот мой код:

URI loginUri = new URI("https://myUrl.asp");

HttpClient httpclient = new DefaultHttpClient();
HttpGet httpget = new HttpGet( loginUri );
HttpResponse response = httpclient.execute( httpget );

Как мне подавить или удалить эту ошибку?

36
Stefan Kendall

Используя HttpClient 3.x, вам нужно сделать это:

Protocol easyHttps = new Protocol("https", new EasySSLProtocolSocketFactory(), 443);
Protocol.registerProtocol("https", easyHttps);

Реализация EasySSLProtocolSocketFactory может быть найдена здесь .

12
Stefan Kendall

Примечание. Не делайте этого в производственном коде, используйте вместо него http или фактический самозаверяющий открытый ключ, как предложено выше.

На HttpClient 4.xx:

import static org.junit.Assert.assertEquals;

import Java.security.KeyManagementException;
import Java.security.NoSuchAlgorithmException;
import Java.security.cert.X509Certificate;

import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;

import org.Apache.http.HttpResponse;
import org.Apache.http.client.methods.HttpGet;
import org.Apache.http.conn.scheme.Scheme;
import org.Apache.http.conn.ssl.SSLSocketFactory;
import org.Apache.http.impl.client.DefaultHttpClient;
import org.junit.Test;

public class HttpClientTrustingAllCertsTest {

    @Test
    public void shouldAcceptUnsafeCerts() throws Exception {
        DefaultHttpClient httpclient = httpClientTrustingAllSSLCerts();
        HttpGet httpGet = new HttpGet("https://Host_with_self_signed_cert");
        HttpResponse response = httpclient.execute( httpGet );
        assertEquals("HTTP/1.1 200 OK", response.getStatusLine().toString());
    }

    private DefaultHttpClient httpClientTrustingAllSSLCerts() throws NoSuchAlgorithmException, KeyManagementException {
        DefaultHttpClient httpclient = new DefaultHttpClient();

        SSLContext sc = SSLContext.getInstance("SSL");
        sc.init(null, getTrustingManager(), new Java.security.SecureRandom());

        SSLSocketFactory socketFactory = new SSLSocketFactory(sc);
        Scheme sch = new Scheme("https", 443, socketFactory);
        httpclient.getConnectionManager().getSchemeRegistry().register(sch);
        return httpclient;
    }

    private TrustManager[] getTrustingManager() {
        TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() {
            @Override
            public Java.security.cert.X509Certificate[] getAcceptedIssuers() {
                return null;
            }

            @Override
            public void checkClientTrusted(X509Certificate[] certs, String authType) {
                // Do nothing
            }

            @Override
            public void checkServerTrusted(X509Certificate[] certs, String authType) {
                // Do nothing
            }

        } };
        return trustAllCerts;
    }
}
17
Jonas Andersson

Этот ответ следует за ответами owlstead и Mat . Это относится к установкам SE/EE, а не ME/mobile/Android SSL.

Поскольку никто еще не упомянул об этом, я упомяну «производственный способ», чтобы это исправить: Выполните действия из класса AuthSSLProtocolSocketFactory в HttpClient , чтобы обновить хранилище доверия и хранилища ключей.

  1. Импортируйте доверенный сертификат и создайте файл склада доверенных сертификатов

keytool -import -alias "my server cert" -file server.crt -keystore my.truststore

  1. Создайте новый ключ (используйте тот же пароль, что и в хранилище доверенных сертификатов)

keytool -genkey -v -alias "my client key" -validity 365 -keystore my.keystore

  1. Выдать запрос на подпись сертификата (CSR)

keytool -certreq -alias "my client key" -file mycertreq.csr -keystore my.keystore

  1. (самоподписаться или получить подписанный сертификат)

  2. Импортируйте доверенный корневой сертификат CA

keytool -import -alias "my trusted ca" -file caroot.crt -keystore my.keystore

  1. Импортируйте файл PKCS # 7, содержащий всю цепочку сертификатов

keytool -import -alias "my client key" -file mycert.p7 -keystore my.keystore

  1. Проверьте содержимое файла результирующего хранилища ключей.

keytool -list -v -keystore my.keystore

Если у вас нет сертификата сервера, сгенерируйте его в формате JKS, а затем экспортируйте в виде файла CRT. Источник: документация по keytool

keytool -genkey -alias server-alias -keyalg RSA -keypass changeit
    -storepass changeit -keystore my.keystore

keytool -export -alias server-alias -storepass changeit
    -file server.crt -keystore my.keystore
16
Barett

Это исключение произойдет в том случае, если ваш сервер основан на JDK 7, а ваш клиент использует JDK 6 и использует SSL-сертификаты. В JDK 7 квитирование сообщений sslv2hello по умолчанию отключено, в то время как в JDK 6 квитирование сообщений sslv2hello включено. По этой причине, когда ваш клиент пытается подключиться к серверу, на сервер будет отправлено сообщение sslv2hello, и из-за отключения сообщения sslv2hello вы получите это исключение. Чтобы решить эту проблему, вы должны переместить свой клиент на JDK 7 или использовать версию 6u91 JDK. Но чтобы получить эту версию JDK, вы должны получить 

4
Tanuj Kumar

Метод, возвращающий «secureClient» (в среде Java 7 - NetBeans IDE и GlassFish Server: порт https по умолчанию 3920), надеюсь, это может помочь:

public DefaultHttpClient secureClient() {
    DefaultHttpClient httpclient = new DefaultHttpClient();
    SSLSocketFactory sf;

    KeyStore trustStore;
    FileInputStream trustStream = null;
    File truststoreFile;
    // Java.security.cert.PKIXParameters for the trustStore
    PKIXParameters pkixParamsTrust;

    KeyStore keyStore;
    FileInputStream keyStream = null;
    File keystoreFile;
    // Java.security.cert.PKIXParameters for the keyStore
    PKIXParameters pkixParamsKey;

    try {
        trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
        truststoreFile = new File(TRUSTSTORE_FILE);
        keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        keystoreFile = new File(KEYSTORE_FILE);
        try {
            trustStream = new FileInputStream(truststoreFile);
            keyStream = new FileInputStream(keystoreFile);
        } catch (FileNotFoundException ex) {
            Logger.getLogger(ApacheHttpRestClient.class.getName()).log(Level.SEVERE, null, ex);
        }
        try {
            trustStore.load(trustStream, PASSWORD.toCharArray());
            keyStore.load(keyStream, PASSWORD.toCharArray());
        } catch (IOException ex) {
            Logger.getLogger(ApacheHttpRestClient.class.getName()).log(Level.SEVERE, null, ex);
        } catch (CertificateException ex) {
            Logger.getLogger(ApacheHttpRestClient.class.getName()).log(Level.SEVERE, null, ex);
        }
        try {
            pkixParamsTrust = new PKIXParameters(trustStore);
            // accepts Server certificate generated with keytool and (auto) signed by Sun
            pkixParamsTrust.setPolicyQualifiersRejected(false);
        } catch (InvalidAlgorithmParameterException ex) {
            Logger.getLogger(ApacheHttpRestClient.class.getName()).log(Level.SEVERE, null, ex);
        }
        try {
            pkixParamsKey = new PKIXParameters(keyStore);
            // accepts Client certificate generated with keytool and (auto) signed by Sun
            pkixParamsKey.setPolicyQualifiersRejected(false);
        } catch (InvalidAlgorithmParameterException ex) {
            Logger.getLogger(ApacheHttpRestClient.class.getName()).log(Level.SEVERE, null, ex);
        }
        try {
            sf = new SSLSocketFactory(trustStore);
            ClientConnectionManager manager = httpclient.getConnectionManager();
            manager.getSchemeRegistry().register(new Scheme("https", 3920, sf));
        } catch (KeyManagementException ex) {
            Logger.getLogger(ApacheHttpRestClient.class.getName()).log(Level.SEVERE, null, ex);
        } catch (UnrecoverableKeyException ex) {
            Logger.getLogger(ApacheHttpRestClient.class.getName()).log(Level.SEVERE, null, ex);
        }

    } catch (NoSuchAlgorithmException ex) {
        Logger.getLogger(ApacheHttpRestClient.class.getName()).log(Level.SEVERE, null, ex);
    } catch (KeyStoreException ex) {
        Logger.getLogger(ApacheHttpRestClient.class.getName()).log(Level.SEVERE, null, ex);
    }
    // use the httpclient for any httpRequest
    return httpclient;
}
0
user2045005