通过浏览器获取url对应服务器的公钥证书server.cer, 访问这个url时加载这个公钥证书,来防止域名劫持。
采用配置hosts的方式来指定域名ip,从而模拟域名劫持。
文中介绍的生成httpclient的方式也可以用来实现双向认证。此时keyPath存储的是我们自己的密钥,jks后缀证书文件,这个jks的公钥证书client.cer需要给你的请求方加入他们服务器的信任链,trustKeyPath 指我们按如下方式生成的client.jks ,这两个证书可以是同一个。
1、新建一个证书存储的client.jks
keytool -genkey -v -alias client -keyalg RSA -keystore client.jks -dname "CN=www.test.com,OU=test,O=test,L=SZ,ST=SZ,C=CN" -storepass 123456 -keypass 123456 -validity 3650
导出cer
keytool -export -alias client -keystore client.jks -storepass 123456 -rfc -file client.cer
2、将server.cer添加到client.jks信任链
keytool -import -noprompt -trustcacerts -alias server -file server.cer -keystore client.jks -storepass 123456
获取httpclient的方法:
public static CloseableHttpCl