Https常见的问题

South_BJ

于 2023-11-03 17:01:47 发布

阅读量1.4k

点赞数 2

分类专栏：异常处理文章标签： https 网络协议

本文链接：https://blog.csdn.net/code_nn/article/details/134203232

版权

异常处理专栏收录该内容

4 篇文章 0 订阅

订阅专栏

Https常见问题解决

最近公司升级web应用服务为https，中间遇到一些关于https有关的问题，这里记录一下。
这边的主要技术选型：

Apache CAS：系统用它做单点登录
web应用
nginx：代理

应用和cas通过同一台nginx代理，https升级为升级 nginx 端口。
证书是非CA，毕竟测试环境嘛，生产由厂商去解决。

一、java.security.cert.CertificateException: No subject alternative names present

先说结论，这个问题是证书的问题。
在SSL证书中未找到主题备用名称（Subject Alternative Names，SANs）的信息。SANs用于指定SSL证书可以用于哪些域名（包括主机名、IP地址等），如果SSL证书的SANs字段为空，或者没有包含正在尝试连接的主机名，就会引发这个异常。
解决办法：测试环境下，根据自身需求使用OpenSSL生成新的携带正确信息的证书，并且替换就好。生产环境的话，首先联系CA提供方要求，在CA技术支持无法解决的情况下（极低），改代码吧。

1.1 测试环境解决办法: 重新生成正确的证书。

创建一个配置文件(san.cnf) :

内容如下:

[req]
req_extensions = v3_req

[v3_req]
subjectAltName = @alt_names

[alt_names]
IP.1 = [填写你要用的ip地址]
IP.2 = [your ip 2]
DNS.1 = [填写你要用的域名]
DNS.2 = [your dns 2]

生成私钥文件（server.key）：

openssl genpkey -algorithm RSA -out server.key

生成证书请求文件（server.csr）：

openssl req -new -key server.key -out server.csr -subj "/C=US/ST=State/L=City/O=Organization/CN=example.com" -reqexts v3_req -config san.cnf

CN字段是您的域名或主机名。
C字段是您的国家缩写。
ST字段是您的公司所在省。
L字段是您的公司所在市。
O字段是您的公司名称。

备注：测试环境下，除了 CN 其他真的随意填写。

生成自签名证书（server.crt）：

#  携带SAN信息文件的方式
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile san.cnf -extensions v3_req

# 不用文件也可以，参考如下：CN、DNS和IP替换成你的需求
openssl req -new -key private-key.pem -out csr.pem -subj "/CN=example.com" -addext "subjectAltName=DNS:example.com,DNS:www.example.com,IP:192.168.0.1"

最终，server.key和server.crt 就是你的https要用的文件。

二、javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed

异常出现的情况：
访问我的应用-> 未登录，拦截到了 CAS登录页面 -> 输入正确的账号和密码 -> 页面抛出重定向过多。
后台应用报这个错。

原因用下图解释，
错误原因
在客户端携带票据和cas进行https通信的时候，和这个页面一样，出现信任问题，无法正常进行交互认证，导致了cas和客户端无限302。

解决办法参考如下：

生成 Truststore 文件

# 参考命令
keytool -import -trustcacerts -keystore truststore.jks -storepass YOUR_PASSWORD -file path/to/your/certificate.pem -alias YOUR_ALIAS

keystore：是你要生成的文件路径，例如/Users/nanan/Desktop/truststore.jks。
storepass：自设定的密码，要记住这个，后面要用！
file：之前生成的https证书文件路径。

上传文件到您的应用服务器上
修改项目启动命令

# 参考命令
java -Djavax.net.ssl.trustStore=/your/path/your_truststore.jks  -Djavax.net.ssl.trustStorePassword=your_password your_app.jar

至此，基本上证书的问题我就遇到两个，希望可以解决您的问题。

三、 HTTPS相关的信息

3.1 HTTPS证书文件

简单的总结：

.crt、.pem一般是服务器使用，例如nginx、tomcat。
.p12、.jks 一般是web应用升级https，比如没有代理，直接升级web应用，那么就需要 .p12 文件。
备注：当然技术日益不同，.p12 和 .crt 是我比较熟悉，用到的文件类型。

HTTPS 证书一般有以下几种常见的格式：

PEM 格式 (.pem, .crt, .cer, .key)：

.pem 文件通常包含 X.509 证书或者私钥。
.crt 文件是 X.509 证书的标准扩展。
.cer 文件也是 X.509 证书的标准扩展，与 .crt 文件类似。
.key 文件通常包含私钥。

PEM 格式的文件使用 Base64 编码，可以包含证书、私钥等，但是不加密。在 PEM 文件中，证书和私钥通常被分开存放，同时也可以合并到一个文件中。

PKCS#12 格式 (.p12, .pfx)：

.p12 或 .pfx 文件通常包含 X.509 证书、私钥和证书链等信息。
PKCS#12 格式是一种二进制格式，可以包含公钥、私钥、证书链等，并且可以使用密码加密。

PKCS#12 文件通常用于将证书和私钥打包在一起，便于导入到操作系统或者应用程序中。

DER 格式 (.der)：

.der 文件是二进制格式的 X.509 证书文件。

DER 格式是二进制编码的证书格式，通常用于 Java 程序和其他一些特定的场景。

JKS（Java KeyStore）格式 (.jks)：

.jks 文件是 Java KeyStore 的格式，通常包含 X.509 证书、私钥等信息。

JKS 是 Java 中用于管理证书和私钥的一种格式，通常在 Java 程序中使用。

CRT 和 KEY 文件：

.crt 文件通常包含 X.509 证书。
.key 文件通常包含私钥。

这种格式通常在 Nginx 和 Apache 等服务器中使用，其中证书和私钥被分开存放。

3.2 什么是Truststore

Truststore 是一个用于存储受信任的证书的安全存储区域，通常在 Java 程序中使用。Truststore 包含了一个或多个受信任的 X.509 证书，用于验证远程服务器的身份。在 SSL/TLS 握手过程中，客户端使用 Truststore 来验证服务器端发送的证书，确保服务器的身份是可信的。

Truststore 的主要作用是：