关于调用第三方接口,证书的认证问题

已于 2023-04-06 16:12:46 修改
阅读量1.2k 收藏
点赞数 1
文章标签: java
于 2023-03-20 18:09:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/I_love_Java___/article/details/129669873
版权

关于证书验证,网上许多文章可能会有很大区别,有些属于自签证书,这个没在实战中使用过,所以文章只说明一些特殊接口的证书问题。

文章只以我自己项目举例,不通用所有情况。

文章证书来源

由于我负责的接口,是需要先向第三方接口提供方提交证书,进行报备,然后使用提交的证书,进行证书认证,如果你的问题是自签证书,可能本文章的思路无法帮助到你,文章我会贴出部分源码

证书说明

由客户提供的证书(证书格式为PEM文件),同时提供了一个.key的私钥文件

PEM文件内容为

-----BEGIN CERTIFICATE-----

加密后的数据

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

加密后的数据

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

加密后的数据

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

加密后的数据

-----END CERTIFICATE-----

其实是四个证书组合成的一个证书,分别是Internal Root CA,apigateway,BlueCerts,OnDemand Issuing可能描述的不太准确,这个是我在第三方接口说明获取到的信息,可以不用纠结这个,因为证书生成跟你没关系

KEY文件内容为

----BEGIN RSA PRIVATE KEY-----

加密后的数据

-----END RSA PRIVATE KEY-----

网上许多参考文献,其实对这个说明很模棱两可,有些说需要格式转换,但是我在使用过程中,并没有进行格式转换

组合证书

到这一步,可能会难倒很多人,因为网上各种说法,真的很容易让人混乱,我大概整理了一下我的思路

关于证书

PEM文件:采用 PEM 编码格式的 X.509 证书的文件扩展名;

DER文件:采用 DER 编码格式的 X.509 证书的文件扩展名;

CRT文件:UNIX 系统,可能是 PEM 编码,也可能是 DER 编码,大多数情况下都是采用 PEM 编码;

CER文件:Windows 系统,可能是 PEM 编码,也可能是 DER 编码,大多数情况下都是采用 DER 编码

他们都是使用X.509的证书文件,只是编码格式有区别,这个需要搞清楚,不要搞混了,都是可以相互转换的,具体转换命令自行百度

key文件

key文件有很多种格式,key文件是私钥,可能是.key.pem或者其他,其实跟上面证书意思差不多,都是编码格式,这里客户提供给我们的文件是.key的后缀文件

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

-----BEGIN RSA PRIVATE KEY-----

-----END RSA PRIVATE KEY-----

证书 + key组合最终用于认证的文件

最终的文件为PKCS#12文件,他有两种后缀,一种为pfx和p12,两种区别不大

使用下列命令

将PEM证书文件和私钥转换为PKCS#12(.pfx .p12)

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt

-out文件,我理解为一个组合文件,证书 + 私钥,可以为.pfx文件,p12文件

-inkey文件,表示私钥,一般为带有key后缀或者,.key.pem等,如果没有带有key后缀,可以查看文件,参看上面

-in文件,表示证书,参考证书说明,可以是.crt .cer .pem .der

上面OpenSSL命令还有另一个版本,但是我实际应用中,没有用到(我没有深入了解原理,只是开发中使用到了)

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

这里的-certfile文件 CACert.crt文件,其实我不太懂,他具体是用来干嘛的

执行上面的命令以后,会提示你输入密码,我设置了密码(这个不设密码我没有试过)

下面是我遇到的坑,仅供参考

  1. 我设置的密码很长,因为是密码是第三方提供的接口账号的密码,在Windows操作窗口使用OpenSSL执行转换命令后,生成的文件会有问题(具体问题未知,可能是我没有配置环境变量),不是无法生成,而是生成的文件有问题,所以我在公司服务器Linux上进行转换的文件

关于代码应用

先说代码的坑,之前网上各种找案例,最后发现,好像与自己的需求不太匹配。

/*
clientConfig是我定义的配置信息,包括需要访问的地址,搭配证书使用的参数等
*/
private HttpResponse merchantQARegisterSend(String param, String fileUrl, ClientConfig clientConfig) {
        HttpResponse response = null;
        try (FileInputStream inStream = new FileInputStream(fileUrl)) {
            KeyStore keyStore = KeyStore.getInstance("PKCS12");
            keyStore.load(inStream, clientConfig.getClientSecret().toCharArray());
            SSLContext sslcontext = SSLContexts.custom()
                    .loadKeyMaterial(keyStore, clientConfig.getClientSecret().toCharArray()).build();

            SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                    sslcontext, new String[]{"TLSv1", "TLSv1.2"}, null,
                    SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

            org.apache.http.client.config.RequestConfig defaultRequestConfig = org.apache.http.client.config.RequestConfig.custom()
                    .setSocketTimeout(5000)
                    .setConnectTimeout(5000)
                    .setConnectionRequestTimeout(5000)
                    .setStaleConnectionCheckEnabled(true)
                    .build();

            CloseableHttpClient httpclient = HttpClients.custom().setDefaultRequestConfig(defaultRequestConfig)
                    .setSSLSocketFactory(sslsf)
                    .build();

            HttpPost post = new HttpPost(clientConfig.getUrl());

            org.apache.http.client.config.RequestConfig requestConfig = org.apache.http.client.config.RequestConfig.custom()
                    .setConnectTimeout(90 * 1000)
                    .setSocketTimeout(90 * 1000)
                    .build();

            post.setConfig(requestConfig);
            properties.put("KEY", clientConfig.getKey());
            StringEntity entity = new StringEntity(param, "utf-8");
            entity.setContentType("application/json");
            post.setEntity(entity);

            Properties properties = new Properties();

            PropertiesConfigurationProvider configurationProvider = new PropertiesConfigurationProvider();
            configurationProvider.setProperties(properties);

            AuthProvider authProvider = HmacAuthBuilder.getBuilder()
                    .setConfiguration(configurationProvider)
                    .build();
            //转换成map,写入请求的header中
            Map<String, String> headers = authProvider.generateAuthHeaders(param, clientConfig.getUrl(), "POST");
            for (Map.Entry<String, String> header : headers.entrySet()) {
                post.setHeader(header.getKey(), header.getValue());
            }

            response = httpclient.execute(post);
        } catch (Exception e) {
            
        }
        return response;
    }
终成败寇
关注
第三方接口调用。身份认证+参数加密
hfuningn的博客
06-08 1006
保证数据的安全性用AES加密的。token进行身份认证(通过JwtUtil生产) 参数加密
Ajax调用第三方接口;ICP备案查询;PHP后台调用接口;Js调用第三方接口;Ajax+PHP接口开发;
我的世界
07-26 506
每一行都有注释,看了就会,最下方有详细说明。描述这么详细的博主可不多了。话不多说,上图! .PHP $domain = $_POST['domain'];//接收域名 $url = 'https:://API地址';//这里传值方式采用的是post //提交的post数据 $post_data=array( "key" => '密钥', "domain" => $domain ); //下面代...
调用第三方接口出现证书问题
weixin_42945597的博客
02-01 1502
调用第三方接口出现证书问题 描述 sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 问题原因 源应用程序不信任目标应用程序的证书,因为在源应用程序的JVM信任库中找不到该证
调用其他服务器接口证书_第二节,接口相关知识介绍
weixin_39927861的博客
12-05 250
一,常用的接口类型:http,https,restful1,Http与Https区别:Http协议是超文本传输协议,信息是明文传输;Https是具有安全性的SSL加密传输。Http采用的是80端口连接;而Https使用的是443端口。Https协议需要到ca申请证书,一般免费证书很少,需要交费,也有一些Web容器免费,如TOMCAT,而Http不需要。Http连接相对简单,是无状态的;而...
C# 调用 Https协议web的服务 ssl证书(客户端需要证书
weixin_30847939的博客
03-21 841
public class restop { private string url = ""; public string Url { get { return url; } set { url = value; } } private st...
java https证书验证码_java 请求https接口 证书验证
weixin_31681589的博客
02-13 783
java ssl 证书验证有两种方式:1是将证书导入到java安全证书库中;2是将证书通过keytool导出一个密钥文件,然后通过代码加载该文件进行验证。第1种方式导入证书后,请求https时就直接报错:javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternati...
第三方系统访问芋道源码接口,需要签名验证,资源为访问调用接口代码示例
02-28
本资源包提供的关于“第三方系统访问芋道源码接口”的代码示例,详细地展示了数字签名在实际应用中的实现方法和流程。通过对这些代码的学习和应用,开发者可以更好地理解和掌握数字签名技术,从而在未来的项目中有效...
SAP ABAP 调用HTTPS ; 上传文件并调用接口
09-27
本文详细介绍了如何使用ABAP调用HTTPS协议上传文件,并调用远程接口。文章首先提供了一个示例报告 REPORTZSDR029_A 的概览,其中涉及了数据类型定义、内部表、日志表以及ALV(高级列表显示)控件的定义和使用。ALV...
java后台直接调用第三方https请求
guaxiaoqian的博客
07-19 1896
java接口中直接调用第三方https请求
http远程接口调用-httpClient+跳过SSL证书校验
08-04
本文将详细介绍如何使用Apache HttpClient库进行HTTP远程接口调用,并讲解如何在Java中跳过SSL证书校验。 HttpClient是Apache提供的一款强大的HTTP客户端库,支持多种HTTP协议版本和功能,包括GET、POST请求、...
接口安全设计之https(证书)
十维之眼的博客
08-22 1136
一、证书 证书在https中有着举足轻重的作用,所以先来介绍证书这个概念。 (一)、CA 1、啥样子 先来看看一般证书都长什么样: 包含三类信息: (1)谁颁发的:颁发者(多数是CA颁发,但有些也是各公司自己颁发比如12306网站的证书) (2)谁使用的:使用者 (3)证书本身信息:版本、序列号、签名算法、签名哈希算法、有效期、公钥 其中证书中最重要的信息是算法和公钥! 2、干吗用的 那这个证书干啥用的呢?证书的作用只有一个:验证数据是否可信。 首先,证书有一个概念叫证书链。从根
基于口令和证书认证(TrueLicense)的接口调用工具库的封装设计 By 嗡汤圆
weixin_33802505的博客
09-07 392
2019独角兽企业重金招聘Python工程师标准>>> ...
通过curl调用接口,因证书问题调用失败的解办法
懵懂听风雨
09-30 1937
调用代码 $url = 'http://www.baidu.com'; $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $res = curl_exec($ch); curl_close($ch);
【Android】支持https接口调用的简单证书校验
创艺未来
07-14 2154
做X509的证书验证,线下环境不做校验,线上环境仅仅做单向的hostname校验。完善的校验应该包括客户端和服务端的证书校验。 package com.xxx.utils;import java.security.KeyManagementException; import java.security.NoSuchAlgorithmException; import java.security.Se
OAuth2认证流程
qq_41860765的博客
03-05 3381
Spring Security支持OAuth2认证,OAuth2提供授权码模式、密码模式、简化模式、客户端模式等四种授权模式,前边举的微信扫码登录的例子就是基于授权码模式,这四种模式中授权码模式和密码模式应用较多,本实例使用Spring Security演示授权码模式、密码模式,其余两种请自行查阅相关资料。答案是否定的,服务提供商会给批准接入的客户端一个身份,用于接入时的凭据,有客户端标识和客户端秘钥,在这里配置批准接入的客户端的详细信息。
【原创】SpringBoot实现使用httpclient配合restTemplate验证服务器与服务器之间调用接口的TLS/SSL证书双向认证(精简版,附真实项目代码)
HD243608836的博客
07-13 1960
我的项目是服务器与服务器之间调接口调用是需要ssl证书双向认证的。 yml中配置: ## 证书双向认证配置(本系统作为客户端) client: ssl: abs: # jks与pkcs12(即pfx)都可以。type不区分大小写 # path: ssl/abs/abs@aaa.abc.com.jks # type: JKS path: ssl/abs/abs@aaa.abc.com.pfx type: PKCS
linux 服务器中(jdk1.8以下)请求HTTPS接口,需要证书的解决方法(安装证书
水军独立团的博客
07-11 3943
第一步:首先获取HTTPS网站的证书------ 打开浏览器输入https://的网站,如果没有相关证书,可以根据提示从浏览器中下载下来,一般保存为*.cer文件。 第二步:将步骤一的*.cer文件拷贝到'%JAVA_HOME%\jre\lib\security\cacerts'路径下 第三步:配置环境变量 vi /etc/profile i插入 添加以下三句export到文件最...
java 验证客户端证书_Java:如何添加SSL客户端身份验证
weixin_39747615的博客
02-16 486
我有这个代码来连接服务器与客户端使用SSL,现在我要添加客户端身份验证:(我有一个服务器密钥库(JCEKS类型)和客户端密钥库(JKS类型),服务器使用一个信任库(cacerts),其中我导入了两个证书,因为我也想使用这个信任库进行客户端身份验证)客户端代码:System.setProperty("javax.net.ssl.trustStore",cerServer);System.setPro...
java口令认证_基于口令和证书认证(TrueLicense)的接口调用工具库的封装设计 By 嗡汤圆...
weixin_29790285的博客
02-23 483
安全性用户名、口令认证用户名、口令泄露,没有证书也无法完成认证用户名、口令与证书绑定,用户、证书与硬件MAC地址绑定。用户名、口令、证书均泄露后,若硬件MAC地址不在认证范围,则仍无法使用服务。用户名、口令、证书泄露,盗用者通过解密获取MAC地址并伪造后,服务端仍可以通过修改配置实时变更认证MAC地址,甚至使证书失效。需求&优点需求接口使用者无需知道接口地址和传输实现,仅需知道传入参数和传...
调用第三方接口本地通过线上SSL验证失败
最新发布
03-11
### 可能的原因 当调用第三方API时遇到SSL证书验证失败的问题,这通常是由于源应用程序所在的JVM信任库中不存在目标服务器的证书或其完整的证书链所引起的[^3]。 ### 解决方案概述 针对这一问题存在多种解决方案,具体取决于使用的HTTP客户端以及安全需求。以下是几种常见的处理方式: #### 方法一:导入有效的CA根证书Java的信任存储 如果问题是因缺少特定的CA签发的有效证书,则最正规的做法是从官方渠道获取正确的CA根证书并将其安装到运行环境中的`cacerts`文件里。对于基于Java的应用来说,这意味着更新JRE/JDK自带的信任库。 #### 方法二:禁用SSL验证(仅限测试) 虽然这种方法简单直接,但在生产环境下强烈不建议这样做,因为这样会使通信变得不再安全。然而,在某些情况下为了快速定位其他潜在问题或者是在受控环境中进行临时性的调试工作,可以通过修改HttpClinet、Feign Client 或 OkHttpClient 配置来跳过SSL握手过程中的身份校验步骤[^4]。 对于Feign Client而言,可以在启动参数中加入如下配置项以关闭默认的安全检查机制[^1]: ```properties feign.httpclient.disableSslValidation=true ``` 而对于OkHttpClient则需编程实现自定义的`X509TrustManager` 和 `HostnameVerifier`, 并应用到实例构建器上: ```java import javax.net.ssl.*; ... // 创建一个接受所有证书的信任管理器 final TrustManager[] trustAllCerts = new TrustManager[]{ new X509TrustManager() { @Override public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) {} @Override public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) {} @Override public java.security.cert.X509Certificate[] getAcceptedIssuers() {return null;} } }; try { SSLContext sc = SSLContext.getInstance("TLS"); sc.init(null, trustAllCerts, new java.security.SecureRandom()); // 使用上述上下文创建 SSLSocketFactory 实例 final SSLSocketFactory sslSocketFactory = sc.getSocketFactory(); client = new OkHttpClient.Builder() .sslSocketFactory(sslSocketFactory, (X509TrustManager)trustAllCerts[0]) .hostnameVerifier((hostname, session) -> true) .build(); } catch (Exception e){ throw new RuntimeException(e); } ``` 请注意这种方式极大地削弱了HTTPS协议所提供的安全保障功能,因此只应在绝对必要的情况下谨慎采用,并尽快恢复正常的认证流程。 #### 方法三:利用 mkcert 工具生成本地可信证书 在开发阶段或是内部网络部署服务时,可以考虑使用像[mkcert](https://github.com/FiloSottile/mkcert)[^5]这样的工具来自动生成被操作系统认可的SSL/TLS证书。这些证书适用于localhost和其他任意指定域名,非常适合用于模拟真实世界的HTTPS交互而不必担心SSL警告信息干扰正常业务逻辑测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值