Https常见问题解决
最近公司升级web应用服务为https,中间遇到一些关于https有关的问题,这里记录一下。
这边的主要技术选型:
- Apache CAS: 系统用它做单点登录
- web应用
- nginx:代理
应用和cas通过同一台nginx代理,https升级为升级 nginx 端口。
证书是非CA,毕竟测试环境嘛,生产由厂商去解决。
一、java.security.cert.CertificateException: No subject alternative names present
先说结论,这个问题是证书的问题。
在SSL证书中未找到主题备用名称(Subject Alternative Names,SANs)的信息。SANs用于指定SSL证书可以用于哪些域名(包括主机名、IP地址等),如果SSL证书的SANs字段为空,或者没有包含正在尝试连接的主机名,就会引发这个异常。
解决办法: 测试环境下,根据自身需求使用OpenSSL生成新的携带正确信息的证书,并且替换就好。生产环境的话,首先联系CA提供方要求,在CA技术支持无法解决的情况下(极低),改代码吧。
1.1 测试环境解决办法: 重新生成正确的证书。
- 创建一个配置文件(san.cnf) :
内容如下:
[req]
req_extensions = v3_req
[v3_req]
subjectAltName = @alt_names
[alt_names]
IP.1 = [填写你要用的ip地址]
IP.2 = [your ip 2]
DNS.1 = [填写你要用的域名]
DNS.2 = [your dns 2]
- 生成私钥文件(server.key):
openssl genpkey -algorithm RSA -out server.key
- 生成证书请求文件(server.csr):
openssl req -new -key server.key -out server.csr -subj "/C=US/ST=State/L=City/O=Organization/CN=example.com" -reqexts v3_req -config san.cnf
- CN字段是您的域名或主机名。
- C字段是您的国家缩写。
- ST字段是您的公司所在省。
- L字段是您的公司所在市。
- O字段是您的公司名称。
备注:测试环境下,除了 CN
其他真的随意填写。
- 生成自签名证书(server.crt):
# 携带SAN信息文件的方式
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile san.cnf -extensions v3_req
# 不用文件也可以,参考如下:CN、DNS和IP替换成你的需求
openssl req -new -key private-key.pem -out csr.pem -subj "/CN=example.com" -addext "subjectAltName=DNS:example.com,DNS:www.example.com,IP:192.168.0.1"
最终,server.key
和server.crt
就是你的https要用的文件。
二、javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed
异常出现的情况:
访问我的应用-> 未登录,拦截到了 CAS登录页面 -> 输入正确的账号和密码 -> 页面抛出重定向过多。
后台应用报这个错。
原因用下图解释,
在客户端携带票据和cas进行https通信的时候,和这个页面一样,出现信任问题,无法正常进行交互认证,导致了cas和客户端无限302。
解决办法参考如下:
- 生成 Truststore 文件
# 参考命令
keytool -import -trustcacerts -keystore truststore.jks -storepass YOUR_PASSWORD -file path/to/your/certificate.pem -alias YOUR_ALIAS
- keystore:是你要生成的文件路径,例如
/Users/nanan/Desktop/truststore.jks
。 - storepass:自设定的密码,要记住这个,后面要用!
- file:之前生成的https证书文件路径。
- 上传文件到您的应用服务器上
- 修改项目启动命令
# 参考命令
java -Djavax.net.ssl.trustStore=/your/path/your_truststore.jks -Djavax.net.ssl.trustStorePassword=your_password your_app.jar
至此,基本上证书的问题我就遇到两个,希望可以解决您的问题。
三、 HTTPS相关的信息
3.1 HTTPS证书文件
简单的总结:
- .crt、.pem一般是服务器使用,例如nginx、tomcat。
- .p12、.jks 一般是web应用升级https,比如没有代理,直接升级web应用,那么就需要 .p12 文件。
备注:当然技术日益不同,.p12 和 .crt 是我比较熟悉,用到的文件类型。
HTTPS 证书一般有以下几种常见的格式:
- PEM 格式 (.pem, .crt, .cer, .key):
.pem
文件通常包含 X.509 证书或者私钥。.crt
文件是 X.509 证书的标准扩展。.cer
文件也是 X.509 证书的标准扩展,与.crt
文件类似。.key
文件通常包含私钥。
PEM 格式的文件使用 Base64 编码,可以包含证书、私钥等,但是不加密。在 PEM 文件中,证书和私钥通常被分开存放,同时也可以合并到一个文件中。
- PKCS#12 格式 (.p12, .pfx):
.p12
或.pfx
文件通常包含 X.509 证书、私钥和证书链等信息。- PKCS#12 格式是一种二进制格式,可以包含公钥、私钥、证书链等,并且可以使用密码加密。
PKCS#12 文件通常用于将证书和私钥打包在一起,便于导入到操作系统或者应用程序中。
- DER 格式 (.der):
.der
文件是二进制格式的 X.509 证书文件。
DER 格式是二进制编码的证书格式,通常用于 Java 程序和其他一些特定的场景。
- JKS(Java KeyStore)格式 (.jks):
.jks
文件是 Java KeyStore 的格式,通常包含 X.509 证书、私钥等信息。
JKS 是 Java 中用于管理证书和私钥的一种格式,通常在 Java 程序中使用。
- CRT 和 KEY 文件:
.crt
文件通常包含 X.509 证书。.key
文件通常包含私钥。
这种格式通常在 Nginx 和 Apache 等服务器中使用,其中证书和私钥被分开存放。
3.2 什么是Truststore
Truststore 是一个用于存储受信任的证书的安全存储区域,通常在 Java 程序中使用。Truststore 包含了一个或多个受信任的 X.509 证书,用于验证远程服务器的身份。在 SSL/TLS 握手过程中,客户端使用 Truststore 来验证服务器端发送的证书,确保服务器的身份是可信的。
Truststore 的主要作用是:
- 验证服务器的身份: 通过服务器端发送的证书,客户端可以验证服务器的身份,确保连接到的服务器是合法的。
- 建立加密连接: 在 SSL/TLS 握手成功后,双方可以使用安全的加密通道进行数据传输。