java ssl

已于 2024-07-06 18:36:11 修改
阅读量124 收藏
点赞数 1
文章标签: java ssl python
于 2024-07-06 18:09:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bluecard2008/article/details/140233268
版权

两种模式:

1:升级Java版本:TLS1.0已经被认为是不安全的协议版本,建议升级到Java 8或更高版本,以支持更安全的TLS协议版本。

2: 绕过ssl

简介:需要告诉client使用一个不同的TrustManager。TrustManager是一个检查给定的证书是否有效的类。SSL使用的模式是X.509,对于该模式Java有一个特定的TrustManager,称为X509TrustManager。首先我们需要创建这样的TrustManager。将TrustManager设置到我们的HttpClient。TrustManager只是被SSL的Socket所使用。Socket通过SocketFactory创建。对于SSL Socket,有一个SSLSocketFactory。当创建新的SSLSocketFactory时,你需要传入SSLContext到它的构造方法中。在SSLContext中,我们将包含我们新创建的TrustManager。

创建的TrustManager
创建SSLContext:TLS是SSL的继承者,但是它们使用相同的SSLContext。
创建SSLSocketFactory
将SSLSocketFactory注册到我们的HttpClient上。这是在SchemeRegistry中完成的。
创建ClientConnectionManager,创建SchemeRegistry。
生成HttpClient
http忽略ssl认证
忽略https认证,就是自己构建一个x509认证,默认通过,再传到ssl配置工厂中
                        
原文链接:https://blog.csdn.net/weixin_54505261/article/details/138182696

一、升级JDK

linux 安装jdk1.8

官网下载:https://www.oracle.com/java/technologies/downloads/#java8
1、下载对应版本linux-x64.tar.gz

查看Java版本
java -version
查看是否有自带的openJDK
rpm -qa|grep jdk
如果有则卸载
rpm -e --nodeps xxx xxx:文件名
验证是否卸载干净
rpm -qa|grep jdk
服务器上传解压安装包

安装包:jdk-8u401-linux-x64.tar.gz

我这边的目录地址是/usr/local/java

cd /usr/local/java

tar -zxvf jdk-8u401-linux-x64.tar.gz
vim /etc/profile
在文件尾部添加如下信息:
export JAVA_HOME=/usr/local/java/jdk1.8.0_401
export JRE_HOME=/usr/local/java/jdk1.8.0_401/jre
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib:$CLASSPATH
export PATH=$JAVA_HOME/bin:$PATH
更新linux环境设置
source /etc/profile
=======
验证
java -version

二、绕过ssl

除了信任验证和客户端身份验证在SSL/TLS协议层进行之外,HttpClient可以有选择的验证目标主机名是否跟服务端存储在X.509认证里的一致,一旦连接已经建立,这种验证可以为服务器认证提供额外的保障,javax.net.ssl.HostnameVerifier 接口代表了主机名验证的一种策略,HttpClient附带了两中javax.net.ssl.HostnameVerifier的实现,注意:不要把主机名验证跟SSL信任验证混淆

        DefaultHostnameVerifier: HttpClient使用的默认实现,与RFC2818兼容,主机名必须匹配证书指定的任何可替换的名称,或者没有可替换名称下证书主体中指定的具体的CN,CN和可替换名称中都可能有通配符。

        NoopHostnameVerifier: 这个主机名验证器基本上就是把主机名验证关闭了,它接受任何有效的SSL会话来匹配目标主机。

默认HttpClient使用DefaultHostnameVerifier实现,如果有需要的话你可以指定一个不同的主机名验证器

SSLContext sslContext = SSLContexts.createSystemDefault();

SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory( sslContext, NoopHostnameVerifier.INSTANCE);

        HttpClient4.4使用Mozilla基金会维护的公共后缀列表去确保SSL证书的通配符不会被多个通用顶级域名误用,HttpClient会附带一个该列表的最新的拷贝,最新的修正版在https://publicsuffix.org/list/,强烈建议从源数据每天更新一次并且保持一份本地拷贝。

PublicSuffixMatcher publicSuffixMatcher = PublicSuffixMatcherLoader.load( PublicSuffixMatcher.class.getResource("my-copy-effective_tld_names.dat"));

DefaultHostnameVerifier hostnameVerifier = new DefaultHostnameVerifier(publicSuffixMatcher);

你可以通过使用null匹配来关闭公共后缀列表验证

DefaultHostnameVerifier hostnameVerifier = new DefaultHostnameVerifier(null); 

public String sendAttachment(String url, Map<String, String> param, List<File> files)
			throws KeyManagementException, KeyStoreException, NoSuchAlgorithmException, NoSuchProviderException, Exception {
		// String url =
		// "http://1f667997x7.iask.in/lpyxcj_outer/attachment/jybgAttachment";
		String resultMsg = "";
		// CloseableHttpClient httpClient = HttpClients.createDefault();
		
		// httpClient=HttpClients.custom().setConnectionManager(connManager).build();
		CloseableHttpClient httpClient = createHttpsClient();
		
		try {
			HttpPost httpPost = new HttpPost(url);
			// 设置传输参数
			MultipartEntityBuilder multipartEntity = MultipartEntityBuilder.create();
			multipartEntity.setCharset(StandardCharsets.UTF_8).setMode(HttpMultipartMode.BROWSER_COMPATIBLE);
			// 将附件包装成FileBody并存入EntityBuilder中
			for (File file : files) {
				FileBody fundFileBin = new FileBody(file);
				multipartEntity.addPart("files", fundFileBin);
			}
			// 存入其他参数
			Set<String> keySet = param.keySet();
			for (String key : keySet) {
				multipartEntity.addPart(key,
						new StringBody(param.get(key), ContentType.create("text/plain", Consts.UTF_8)));
			}
			HttpEntity reqEntity = multipartEntity.build();
			httpPost.setEntity(reqEntity);
			// 发起请求并获取返回结果
			try (CloseableHttpResponse response = httpClient.execute(httpPost)) {
				HttpEntity resEntity = response.getEntity();
				if (resEntity != null) {
					resultMsg = EntityUtils.toString(resEntity, StandardCharsets.UTF_8);
				}
				EntityUtils.consume(resEntity);
			} catch (Exception e) {
				e.printStackTrace();
			}
		} finally {
			try {
				httpClient.close();
			} catch (IOException e) {
				e.printStackTrace();
			}
		}
		return resultMsg;
	}


public static CloseableHttpClient createHttpsClient()
			throws KeyStoreException, NoSuchAlgorithmException, KeyManagementException, NoSuchProviderException, IOException {
		SSLContext sslContext11 = SSLContext.getInstance("TLS");
		sslContext11.init(null, null,null);
		SSLSocketFactory factory = (SSLSocketFactory) sslContext11.getSocketFactory();
		SSLSocket socket = (SSLSocket) factory.createSocket();
		String[] protocols = socket.getSupportedProtocols();
		System.out.println("Supported Protocols: " + protocols.length);
		for (int i = 0; i < protocols.length; i++) {
		    System.out.println(" "  + protocols[i]);
		}
		protocols = socket.getEnabledProtocols();

        System.out.println("Enabled Protocols: " + protocols.length);
        for (int i = 0; i < protocols.length; i++) {
            System.out.println(" " + protocols[i]);
        }
		
		TrustManager[] trustAllCerts = new TrustManager[] { (TrustManager) new TrustAllManager() };
		SSLContext sslContext = SSLContext.getInstance("TLS");
		sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
		
		
        // SSLContextBuilder builder = new SSLContextBuilder();
           // builder.loadTrustMaterial(null, new TrustSelfSignedStrategy());
           // //4.3版本之前用这个
           /// //SSLConnectionSocketFactory sslcsf = new SSLConnectionSocketFactory(
           /// //builder.build(), SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
           /// //4.3版本之后用这个
           // SSLConnectionSocketFactory sslcsf = new                     //SSLConnectionSocketFactory(builder.build(),
               // new String[] {"SSLv3"}, null,new NoopHostnameVerifier());
 
		///
		
		Registry<ConnectionSocketFactory> registry = RegistryBuilder.<ConnectionSocketFactory>create()
				.register("http", PlainConnectionSocketFactory.INSTANCE)
				.register("https", new SSLConnectionSocketFactory(sslContext,
						SSLConnectionSocketFactory.getDefaultHostnameVerifier()))
				.build();
		PoolingHttpClientConnectionManager connManager = new PoolingHttpClientConnectionManager(registry);
		connManager.setMaxTotal(1000); // 连接池最大连接数
		connManager.setDefaultMaxPerRoute(20); // 每个路由最大连接数
		// CloseableHttpClient httpClient = HttpClients.createDefault();
		CloseableHttpClient httpClient = HttpClients.custom().setConnectionManager(connManager).build();

		return httpClient;
	};



----------------------------------------------------------------------------


import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;
 
@SuppressWarnings("deprecation")
public class TrustAllManager implements TrustManager,X509TrustManager {

	@Override
	public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
		// TODO Auto-generated method stub
		return ;
	}

	@Override
	public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
		// TODO Auto-generated method stub
		return;
	}

	@Override
	public X509Certificate[] getAcceptedIssuers() {
		// TODO Auto-generated method stub
		return null;
	}
	public boolean isServerTrusted(java.security.cert.X509Certificate[] certs) {
        return true;
    }

    public boolean isClientTrusted(java.security.cert.X509Certificate[] certs) {
        return true;
    }
   
}

出现的问题:

3、javax.net.ssl.SSLHandshakeException: Server chose SSLv3, but that protocol version is not enabled or not supported by the client.

可更改jdk参数:

C:\Program Files\Java\jdk1.8.0_60\jre\lib\security\java.security 

j avax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

at sun.security.ssl.Alerts.getSSLException(Alerts.java:192) 

引用:https://www.cnblogs.com/remember-forget/p/10271248.html

更换jdk中jce的jar包

网上资料说这个应该是旧版本jdkjce中安全机制的bug,要去oracle官网下载对应的jce包替换jdk中的jce包

jce所在jdk的路径: %JAVA_HOME%\jre\lib\security里的local_policy.jar,US_export_policy.jar

JDK7 http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html

JDK8 http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
 

云盘:https://pan.baidu.com/s/1Klr3MS8yhpEnlj7nYM1OYw

更该java 应用程序参数:

java连接sqlserver报错:The server selected protocol version TLS10 is not accepted by client preferences [TLS13, TLS12]

在Java应用程序的启动参数中添加以下选项,指定所需的TLS协议版本:

-Dhttps.protocols=TLSv1.2,TLSv1.3

centos8 :::

com.microsoft.sqlserver.jdbc.SQLServerException: The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer (SSL) encryption. Error: "Server chose TLSv1, but that protocol version is not enabled or not supported by the client.".
 

# 启用TLSv1
vi /etc/crypto-policies/back-ends/opensslcnf.config

# MinProtocol = TLSv1.2
MinProtocol = TLSv1
MaxProtocol = TLSv1.3

# 更新加密策略,有效!
update-crypto-policies --set LEGACY
 

bluecard2008
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSL证书校验】Java Client 忽略对服务端的SSL证书校验
一个被IT搞的
01-13 4877
背景 在某些特殊的项目中虽然使用了HTTPS,但其证书管理又不是采用常规模式,如服务端用了个自签名的证书。 很多组织的内部项目因为各种原因采用了这种方式。(先不深挖这种模式的利弊) 这种情况下,大多数HTTP客户端工具或框架都默认禁止此类证书。 为了让客户端忽略SSL证书校验,需要额外的客户端代码设置。 实现方式 本文针对两种Java常见HTTP客户端请求方式,提供实现样例...
HttpClient详解及如何设置忽略SSL
lixinkuan的博客
07-24 6697
一、简介 HttpClient 是Apache Jakarta Common 下的子项目,可以用来提供高效的、最新的、功能丰富的支持 HTTP 协议的客户端编程工具包,并且它支持 HTTP 协议最新的版本和建议。 HttpClient 是 Apache Jakarta Common 下的子项目,用来提供高效的、最新的、功能丰富的支持 HTTP 协议的客户端编程工具包,并且它支持 HTTP 协议...
java 远程调用 httpclient 调用https接口 忽略SSL认证
那些乐趣的博客
08-31 8578
httpclient 调用https接口,如果不进行https校验忽略,远程调用就会报错,为了避免需要证书,所以用一个类继承DefaultHttpClient类,忽略校验过程。下面是忽略校验过程的代码类:SSLClient。
http忽略ssl认证
最新发布
weixin_54505261的博客
04-25 1278
httpclient证书忽略以及urlconnection证书忽略
HttpClient 忽略证书直接访问https站点
oscar999的专栏
02-20 5888
使用HttpClient 访问https 站点,可以通过以下两种方式忽略证书的检查。 方式1. 信任所有的站点 方式2. 忽略证书认证
java忽略证书验证(兼容http,https)
A1682234的博客
07-14 3035
HttpURLConnection是java的标准类,没有做封装,用起来比较原始,HttpURLConnection通常可以访问http/https协议,但是如果想忽略证书校验的话,需要使用HttpsURLConnection访问url,同时HttpsURLConnection只能访问https的协议。原文链接:https://blog.csdn.net/tianzhonghaoqing/article/details/128529358。java HttpsURLConnection忽略证书。
SslClient:简单的 Java SSL 客户端
07-18
【标题】"SslClient:简单的 Java SSL 客户端" 在网络安全日益重要的今天,SSL(Secure Socket Layer)和它的继任者TLS(Transport Layer Security)已成为数据加密和身份验证的标准。Java作为广泛使用的编程语言,...
javaSSL代码
05-26
Java SSL(Secure Socket Layer)是Java平台用于实现安全网络通信的API,它为应用程序提供了创建安全套接字层(SSL)或传输层安全(TLS)连接的能力。在Java中,SSL主要用于加密网络通信,确保数据在传输过程中的...
Java ssl socket 双向认证
04-18
Java SSL(Secure Socket Layer)套接字是一种用于在两个应用程序之间建立安全通信通道的协议,主要目的是为了确保数据传输的安全性。SSL通过使用加密技术来保护数据,防止未经授权的访问和篡改。在Java中,我们可以...
android+java ssldemo
01-14
本文将深入探讨"android+java ssldemo"中的核心知识点,包括SSL/TLS协议的工作原理、双向认证的概念以及在华为手机上进行性能测试的考虑。 首先,SSL/TLS协议是互联网上保障数据传输安全的重要机制,它通过加密通信...
java ssl连接 SSLServerSocket
11-09
Java中的SSL连接主要涉及到安全套接层(Secure Socket Layer)技术,用于在互联网上提供安全通信。SSLServerSocket是Java中的一个类,它用于创建服务器端的SSL连接,提供了加密和身份验证的能力,确保数据传输的安全...
HttpClient4.5 对HostnameVerifier的处理策略
热门推荐
a442828032的博客
05-04 1万+
除了信任验证和客户端身份验证在SSL/TLS协议层进行之外,HttpClient可以有选择的验证目标主机名是否跟服务端存储在X.509认证里的一致,一旦连接已经建立,这种验证可以为服务器认证提供额外的保障,javax.net.ssl.HostnameVerifier 接口代表了主机名验证的一种策略,HttpClient附带了两中javax.net.ssl.HostnameVerifier的实现,注...
JAVA使用HttpURLConnection请求HTTPS网站,不需要证书验证的DEMO教程
renkai721的专栏
07-27 5378
最近在爬取一个国外的购物网站商品,首先本地的VPN肯定是打开的,发现浏览器和postman每次都可以请求到内容,但是java代码尝试了各种方式都是Connection refused: connect,一开始以为是java代码的问题,后来突然意识到java是在虚拟机上运行的,可能需要使用代码进行代理,果然如此【虽然VPN打开的,但是java并不会自己去走VPN的那条通道】! 无法连接的错误消息如下: java.net.ConnectException: Connection refused: con.
通过HttpClient调用接口时忽略SSL证书验证
aicaiwei3的专栏
07-07 3312
在项目过程中需要调用其他接口
请求第三方Https地址忽略SSL证书校验
qq_42521108的博客
08-04 2523
需要在 请求第三方接口前执行
JAVA http/https 实现get/post请求 带认证信息 同时忽略ssl认证方法
ldddd_的博客
03-20 3115
背景: 最近在做一个项目 前台需要调取平台api 但是直接调用会跨域 所以需要后台调取数据返回给前台 所以。。。。 先贴代码: /** * 发送远端GET请求的公共方法 * * @param url (远程请求的URL) * @param access_token (用户名 密码 选填) * @param acceptType( 接受的数据格式 ...
httpClient发送https请求,忽略证书详解(亲测有效)
m0_53917137的博客
09-24 1万+
httpClient发送https请求,忽略证书详解(亲测有效)问题原因解决 问题 在项目上线前期。第三方接口的生产地址改用为 ip地址加端口号的形式(测试环境使用的是域名进行访问),导致项目上线后接口不能访问。 报错:doesn't match any of the subject alternative names: [...] 原因 https请求是需要对应的证书才能够进行访问,前面测试通过是因为解析的域名服务器上安装了证书,所以不需要客户端重新安装,而直接访问ip+端口号(直接目标机器)地址,
java websocket及忽略证书
qq_33529102的博客
04-16 5380
websocket连接 1、websocket是什么 WebSocket是一种在单个TCP连接上进行全双工通信的协议,允许服务端主动向客户端推送数据,浏览器和服务器只需要完成一次握手,两者之间就直接可以创建持久性的连接,并进行双向数据传输。 2、应用场景 通过一次tcp长连接,经过一次三次握手,持续的双向传输数据。 特点:实时双向通讯 协议与http类似,ws对应http,wss对应https协议 3、实现方式 1、利用Java-WebSocket库 注意事项: 1、ServerEndpoint注解声明的类
Java SSL与HTTPS安全编程实战
Java中实现这些功能时,通常会使用`javax.net.ssl`包中的类,如`SSLSocketFactory`,`SSLSocket`,`KeyManager`和`TrustManager`等。这些类提供了对SSL/TLS协议的支持,以及证书管理和验证的接口。 通过本章的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值