最近上线遇到https的坑,特此记录一下。
项目使用的JDK1.7,测试环境调用的远程服务是http,而正式环境是https,导致上线后调用服务异常
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated
at sun.security.ssl.SSLSessionImpl.getPeerCertificates(SSLSessionImpl.java:397)
at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:128)
at org.apache.http.conn.ssl.SSLSocketFactory.createSocket(SSLSocketFactory.java:399)
at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:143)
一开始以为是远程服务证书认证的原因,检查后发现证书是通过CA认证。怀疑是JDK版本问题,然而项目原因无法更换JDK,加上项目发布时间限制,并且是内网连通,安全性影响不大,所以直接调了对方远程服务http。
之后查了许多资料,大多数都是跳过安全认证。如果既想安全认证,又要调用成功,那该怎么办呢?我做了测试,使用JDK1.8调用https,看到使用的协议是TLSv1.2,并且成功调用。替换成JDK1.7后,SSL协议变为TLSv1,调用失败。
查阅资料后发现原因是:因为安全原因,许多公司要求站点https只支持TLSv1.2的协议,故使用JDK1.7可能会导致出现证书认证不成功等异常。
所以有两个解决办法:
- 升级JDK至JDK1.8
- JDK1.7也可以支持TLSv1.2,在创建httpClient时指定SSL协议即可,代码如下:
SSLContext tlSv1 = SSLContext.getInstance("TLSv1.2");
tlSv1.init(null, null, null);
SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(tlSv1);
CloseableHttpClient httpClient = HttpClients.custom()
.setSSLSocketFactory(sslConnectionSocketFactory)
.build();