SSL 中证书是否可以使用IP而不是域名

最新推荐文章于 2024-04-26 14:20:29 发布
最新推荐文章于 2024-04-26 14:20:29 发布
阅读量3w 收藏 4
点赞数 1
分类专栏: cas 文章标签: cas ssl sso
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu251890347/article/details/37754683
版权

前言:以前听别人说生成证书时可以用IP地址,今天用例子证实了下用IP地址是不行的。

情景一:

生成证书时指定的名称为IP地址

例子是做单点登录时的例子,web.xml中配置如下:


<!--该过滤器负责用户的认证工作,必须启用它 -->
    <filter>
        <filter-name>CASFilter</filter-name>
        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
        <init-param>
            <param-name>casServerLoginUrl</param-name>
            <param-value>https://172.18.113.78:8443/CasServer/login</param-value>
            <!--这里的server是服务端的IP -->
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://127.0.0.1:8080/</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CASFilter</filter-name>
        <url-pattern>/*</url-pattern
    </filter-mapping>
 
    <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
    <!-- ValidationFilter 这个filter负责对请求参数ticket进行验证(ticket参数是负责子系统与CAS进行验证交互的凭证)casServerUrlPrefix:CAS服务访问地址serverName:当前应用所在的主机名 -->
    <filter>
        <filter-name>CAS Validation Filter</filter-name>
        <filter-class>
            org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
        </filter-class>
        <init-param>
            <param-name>casServerUrlPrefix</param-name>
            <param-value>https://172.18.113.78:8443/CasServer</param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://127.0.0.1:8080</param-value>
        </init-param>
        <init-param>
			<param-name>encoding</param-name>
			<param-value>UTF-8</param-value>
		</init-param>
    </filter>
    <filter-mapping>
        <filter-name>CAS Validation Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

如上配置中指定使用HTTPS协议,生成证书时指定的名称为上图中的172.18.113.78,访问后出错,结果如下: 

严重: Servlet.service() for servlet [jsp] in context with path [/uum] threw exception
java.lang.RuntimeException: javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative names present
	at org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:341)
	at org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:305)
	at org.jasig.cas.client.validation.AbstractCasProtocolUrlBasedTicketValidator.retrieveResponseFromServer(AbstractCasProtocolUrlBasedTicketValidator.java:50)
	at org.jasig.cas.client.validation.AbstractUrlBasedTicketValidator.validate(AbstractUrlBasedTicketValidator.java:207)
	at org.jasig.cas.client.validation.AbstractTicketValidationFilter.doFilter(AbstractTicketValidationFilter.java:169)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:243)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:210)
	at org.jasig.cas.client.authentication.AuthenticationFilter.doFilter(AuthenticationFilter.java:116)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:243)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:210)
	at org.jasig.cas.client.session.SingleSignOutFilter.doFilter(SingleSignOutFilter.java:76)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:243)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:210)
	at fi.common.filter.SetCharacterEncodingFilter.doFilter(SetCharacterEncodingFilter.java:125)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:243)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:210)
	at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:240)
	at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:164)
	at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:462)
	at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:164)
	at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:100)
	at org.apache.catalina.valves.AccessLogValve.invoke(AccessLogValve.java:562)
	at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:118)
	at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:395)
	at org.apache.coyote.http11.Http11Processor.process(Http11Processor.java:250)
	at org.apache.coyote.http11.Http11Protocol$Http11ConnectionHandler.process(Http11Protocol.java:188)
	at org.apache.coyote.http11.Http11Protocol$Http11ConnectionHandler.process(Http11Protocol.java:166)
	at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:302)
	at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:886)
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:908)
	at java.lang.Thread.run(Thread.java:619)
Caused by: javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative names present
	at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:174)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1591)
	at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Handshaker.java:187)
	at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Handshaker.java:181)
	at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1035)
	at com.sun.net.ssl.internal.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:124)
	at com.sun.net.ssl.internal.ssl.Handshaker.processLoop(Handshaker.java:516)
	at com.sun.net.ssl.internal.ssl.Handshaker.process_record(Handshaker.java:454)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:884)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1096)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1123)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1107)
	at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:415)
	at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:166)
	at sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1026)
	at sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:234)
	at org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:328)
	... 30 more
Caused by: java.security.cert.CertificateException: No subject alternative names present
	at sun.security.util.HostnameChecker.matchIP(HostnameChecker.java:142)
	at sun.security.util.HostnameChecker.match(HostnameChecker.java:75)
	at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkIdentity(X509TrustManagerImpl.java:264)
	at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:250)
	at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1014)
	... 42 more

情景二:

生成证书时指定名称为域名(测试用的,修改了本地host文件)

例子同情景一中的例子,只是把web.xml中的IP地址改为了域名,测试结果为通过。

如果客户端访问出现如下错误:

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: 
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
这种错误往往是证书路径不对导致的。

可能原因一:tomcat使用的jdk和证书导入的jdk不是同一个

可能原因二:导入完成后需要重启(静态导入),重启一次不行建议重启第二次

可能原因三:jdk中的证书导入错误


结论

所以得出结论,生成证书时需要指定域名而非用IP地址。

枫飘瞬间
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ip地址证书,单域名证书,多域名证书,通配符证书申领链接地址
04-01
ip地址证书,单域名证书,多域名证书,通配符证书申领链接地址
验证IP和HostName
Edison Xu
07-25 2513
项目需要对输入的某值进行校验,该值可能是IP,也可能是HOSTNAME。对于IP,可以简单的用JDK提供的方法进行校验:try { InetAddress.getByName(ip);} catch (UnknownHostException uhe) { throw new Exception("Ip address " +ip + " is invalid!");}getByName方法原本是
只有IP地址怎么实现HTTPS访问?
JoySSL230907的博客
03-22 681
只有IP地址也可以实现HTTPS访问。在内网环境,如果需要实现类似HTTPS的安全通信,一般会采用企业内部的PKI(Public Key Infrastructure)体系自行签发证书,但这仅限于内网环境下的信任链建立,不会被互联网上的标准浏览器默认信任。要是可以短暂的开几分钟80端口内网也可以申请SSL证书。不过,需要注意的是,对于内网IP地址,由于它们不在公网上,且SSL证书颁发机构(CA)无法验证内网IP的真实性,因此不能直接为内网IP地址颁发受到浏览器和操作系统信任的SSL证书
公网IP证书
Anse1kk的博客
07-13 299
ip证书具有安全、可靠、兼容性强的特点,用于公网ip,同时具有ip管理权限,需要注意的是ip证书通常是颁发给公网ip地址使用证书,其本质功能也是具有https加密传输等功能,而其与普通ssl证书最大的区别在于,ip证书可以为部分企业事业单位提供域名访问服务,能够保证企事业单位的数据传输安全,由于ip证书的https加密功能的应用,让ip证书具有更好的应用价值,成为现阶段组织机构与个人的良好安全助手。3.申请人在申请时,只能申请单个IP或者多个IP绑定在一起的SSL证书,不可以申请IP地址段通配符证书
公网IP地址证书详解
2301_82229513的博客
01-24 849
http://公网IP证书,也称为公网IP SSL证书,是一种针对公网IP地址签发的安全SSL证书,不同于常规SSL证书通常绑定到域名,公网IP证书直接与服务器的公网IP地址关联,使得通过该IP地址访问的用户可以获得HTTPS加密连接的安全保护。公网IP证书的申请流程相对简单。公网IP证书,也称为公网IP SSL证书,是一种针对公网IP地址签发的安全SSL证书,不同于常规SSL证书通常绑定到域名,公网IP证书直接与服务器的公网IP地址关联,使得通过该IP地址访问的用户可以获得HTTPS加密连接的安全保护。
使用 openssl 创建自签发证书,含 泛域名证书IP证书
Arlingtonroad的博客
12-03 1397
1. 创建根证书 创建秘钥openssl genrsa -out LocalRootCA.key 2048 生成证书并自签名,nodes是不用密码openssl req -sha256 -new -nodes -x509 -days 3650 -key LocalRootCA.key -out LocalRootCA.crt -subj "/CN=LocalRootCA" 2. 创建域名证书 创建秘钥openssl genrsa -out aa.com.key 2048 创建请求文件(这是单个域的
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
yygr的博客
02-13 1498
什么是 SSL, 什么是 TLS 呢?官话说 SSL 是安全套接层 (secure sockets layer), TLS 是 SSL 的继任者,叫传输层安全 (transport layer security)。说白点,就是在明文的上层和 TCP 层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP 协议是明文传输,加上 SSL 层之后,就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
基于 nodejs 的 webSockt (socket.io)
ankuailan3925的博客
11-28 499
基于 nodejs 的 webSockt (socket.io) 理解 本文的业务基础是在基于 nodejs 的 socket.io 的直播间聊天室(IM)应用来的。 项目具体的 框架如下 express + mongodb + socket.io 在介绍 socket.io 之前,我们有必要对 webSocket 进行根本的原理的理解。 一、webSocket 的前生今世 1、...
WebSocket实战集成SSL(网络安全编程二)
flowerAndJava的博客
11-23 2956
从阿里云服务器购买、域名购买、SSL免费 一 WebSocket实战 1.1 认识WebSocket 上图说明 发送连接请求 客户端通过ws://host:port/ 的请求地址发起WebSocket请求连接。由JavaScript实现 WebSocket API与服务器建立WebSocket连接。host服务器ip,port为端口。 握手 服务器端接受请求后,会解析请求头信息,根据升级协议判断请求是否为WebSocket请求,并取出请求信息的 Sec-WebSocket-Key字段的数据。按照
http添加ssl证书后websocket不行了?关于 websocket wss SSL Https 的问题
孙奋斗的博客
07-02 4094
关于 websocket wss SSL Https 的问题 网站添加https后websocket不能使用 看了一下控制台如图所示: 通过大脑飞速运转以及参考网络资料得出以下结论: 如果网站使用HTTPS,WebSocket必须要使用wss协议; 使用wss协议的连接请求必须只能写域名,而非IP+端口; 建议在URL域名后面为websocket定义一个路径,本例是/app/; 注意: 1、location /app/ {...}这里要格外注意!     html的url是 wss://ww
搭建 https 服务器和 websocket 服务器指南
贱贱的杨 blog
05-23 3223
搭建https服务器环境准备配置 https 服务器访问生成CA根证书生成终端用户证书配置ngnix.confhttps服务器配置 环境准备 操作系统:win10 下载 ngnix 、openssl 安装目录不含有文和有空格 推荐D:/program_files/ngnix 或者 /openssl 配置openssl环境变量 首先配置OPENSSL_HOME 路径,将OPEN...
通过censys搜索引擎ssl证书信息进行资产探测及子域名收集
02-23
通过censys搜索引擎针对使用ssl证书域名进行资产探测(真实ip)和子域名收集,这种方法可以发现常规资产探测不易发现的站点 用于日常渗透测试工作 [+] 增加了自定义C段扫描,获取间件和网站标题 Install ...
一键脚本自动生产nginx之ssl证书
11-29
原文链接:https://blog.csdn.net/m0_37814112/article/details/121617919 说明: 1、证书文件格式为pem和key 2、适用于大量自签证书场景 3、支持域名ip两种方式
nginx配置ssl证书实现https访问的示例
01-09
服务器IP地址:47.89.12.99 域名:bjubi.com 二,域名解析到服务器 在阿里云控制台-产品与服务-云解析DNS-找到需要解析的域名点“解析”,进入解析页面后选择【添加解析】按钮会弹出如下页面: 主机记录这里选择@,...
CAS单点登录之AJAX页面刷新无反应(302 Moved Temporarily)
枫飘瞬间
09-25 5942
最近使用CAS做单点认证服务时发现过大概二十分钟后就发现凡是异步方式刷新页面就无反应了(由于使用EasyUI框架,所以页面刷新基于ajax+div方式),刚开始一直认为是CAS服务端超时的问题,查看了各个配置,网上也参考了许多帖子,一直没有解决,今天无意想起来是不是session过期了呢,因为单点登录客户端没有配置任何session有效时长,也就是说客户端的session时长为tomcat默认时长
cas 用HTTPS方式访问 安全连接失败
枫飘瞬间
07-11 3948
cas server配置以HTTPS方式,客户端同样请求为HTTPS方式,访问后提示SSL失败。
CAS实现单点登录的时序图
枫飘瞬间
07-02 3724
该图为自己结合CAS验证过程
keytool,openssl使用
最新发布
wang0907的博客
04-26 333
在生成公钥私钥,配置https时经常需要用到keytool,openssl工具,本文就一起看下其是如何使用的。keytool是jdk自带的工具,不需要额外下载,但openssl需要额外。
内网ip ssl证书nginx部署
10-12
要在内网上部署使用 SSL 证书的 Nginx,你需要执行以下步骤: 1. 获取 SSL 证书:从可信任的证书颁发机构(CA)获取 SSL 证书。你需要提供你的域名和其他必要的信息,并根据 CA 的要求完成验证流程。一旦通过验证,你将收到一个包含 SSL 证书和其他相关文件的压缩包。 2. 配置 Nginx:在 Nginx 的配置文件,添加 SSL 相关的配置项。找到你要部署 SSL 的虚拟主机配置块,并进行如下配置: ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/ssl_certificate.crt; ssl_certificate_key /path/to/ssl_private_key.key; # 可选:添加其他 SSL 相关配置项 } ``` 在 `ssl_certificate` 和 `ssl_certificate_key` 配置项,分别指定你下载的 SSL 证书和私钥的路径。 3. 配置防火墙:如果你的服务器有启用防火墙,确保允许来自外部网络对 443 端口的访问。 4. 测试配置并重启 Nginx:使用 Nginx 的配置测试命令来验证配置文件的语法是否正确。如果一切正常,重启 Nginx 服务器以使配置生效。 ```shell sudo nginx -t # 测试配置文件语法 sudo systemctl restart nginx # 重启 Nginx ``` 现在你的 Nginx 已经配置好了 SSL 证书,并可以通过 HTTPS 访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值