忽略Java中的自签名证书

最新推荐文章于 2024-05-06 09:24:38 发布
最新推荐文章于 2024-05-06 09:24:38 发布
阅读量689 收藏
点赞数
文章标签: java android linux https 编程语言
我在职业生涯中遇到过几次问题,就是我们有时希望允许自签名证书用于开发或测试目的。 Google的快速搜索显示了多年来无数Java开发人员遇到的麻烦。

根据确切的证书问题,您可能会收到类似以下内容之一的错误,尽管我几乎肯定有其他表现形式: 

java.security.cert.CertificateException: Untrusted Server Certificate Chain

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

要解决此问题,通常需要修改JDK信任库文件,这可能会很痛苦,而且常常会遇到麻烦。 最重要的是,您团队中的每个开发人员都必须做同样的事情,并且您在每个新环境中都会遇到相同的问题。

幸运的是,有一种方法可以以通用的方式解决问题,而不会给开发人员带来任何负担。 我们将重点介绍普通的HttpURLConnection类型的连接,因为它是最通用的类​​型,仍应帮助您了解其他库的使用方向。 如果您使用的是Apache HttpClient,请参见此处

警告:知道您在做什么!

请注意使用此代码的含义:这意味着您完全不关心主机验证,而仅使用SSL来加密通信。 您不是要防止中间人攻击,也不是要确保您已连接到您认为是的主机。 通常可以归结为一些有效的情况:

  1. 您在锁定的LAN环境中操作。 您不容易受到攻击者拦截的请求(或者如果存在,则问题更大)。
  2. 您所处的测试或开发环境中,确保通信安全并不重要。

如果这符合您的需求,请继续进行。 否则,也许要三思而后行地想要完成什么。

解决方案:修改信任管理器

既然我们已经放弃了这个免责声明,我们就可以解决眼前的实际问题。 Java允许我们控制负责验证HttpsURLConnection的主机和证书的对象。 这可以在全球范围内完成,但是我敢肯定,有经验的人会畏缩于做出如此彻底的改变的想法。 幸运的是,我们还可以根据每个请求进行操作,并且由于很难在网络上找到此类示例,因此我在下面提供了代码。 这种方法很好,因为您无需在全球范围内换掉SSLSocketFactory实现。

随时获取它并在您的项目中使用它。 

package com.mycompany.http;

import java.net.*;
import javax.net.ssl.*;
import java.security.*;
import java.security.cert.*;

public class TrustModifier {
   private static final TrustingHostnameVerifier
      TRUSTING_HOSTNAME_VERIFIER = new TrustingHostnameVerifier();
   private static SSLSocketFactory factory;

   /** Call this with any HttpURLConnection, and it will
    modify the trust settings if it is an HTTPS connection. */
   public static void relaxHostChecking(HttpURLConnection conn)
       throws KeyManagementException, NoSuchAlgorithmException, KeyStoreException {

      if (conn instanceof HttpsURLConnection) {
         HttpsURLConnection httpsConnection = (HttpsURLConnection) conn;
         SSLSocketFactory factory = prepFactory(httpsConnection);
         httpsConnection.setSSLSocketFactory(factory);
         httpsConnection.setHostnameVerifier(TRUSTING_HOSTNAME_VERIFIER);
      }
   }

   static synchronized SSLSocketFactory
            prepFactory(HttpsURLConnection httpsConnection)
            throws NoSuchAlgorithmException, KeyStoreException, KeyManagementException {

      if (factory == null) {
         SSLContext ctx = SSLContext.getInstance("TLS");
         ctx.init(null, new TrustManager[]{ new AlwaysTrustManager() }, null);
         factory = ctx.getSocketFactory();
      }
      return factory;
   }

   private static final class TrustingHostnameVerifier implements HostnameVerifier {
      public boolean verify(String hostname, SSLSession session) {
         return true;
      }
   }

   private static class AlwaysTrustManager implements X509TrustManager {
      public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException { }
      public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException { }
      public X509Certificate[] getAcceptedIssuers() { return null; }
   }

}

用法

要使用上面的代码,只需在打开流之前调用RelaxHostChecking()方法即可: 

URL someUrl = ... // may be HTTPS or HTTP
HttpURLConnection connection = (HttpURLConnection) someUrl.openConnection();
TrustModifier.relaxHostChecking(connection); // here's where the magic happens

// Now do your work!
// This connection will now live happily with expired or self-signed certificates
connection.setDoOutput(true);
OutputStream out = connection.getOutputStream();
...

在那里,它是支持自签名证书的本地化方法的完整示例。 这不会影响您的应用程序的其余部分,而其余部分将继续具有严格的托管检查语义。 该示例可以扩展为使用配置设置来确定是否应使用宽松的主机检查,如果使用此代码主要是通过自签名证书进行开发的一种方式,我建议您这样做。

参考: Carfey Software Blog上的 JCG合作伙伴 忽略了Java中的自签名证书

相关文章 :

翻译自: https://www.javacodegeeks.com/2011/12/ignoring-self-signed-certificates-in.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android https遇到自签名证书/信任证书
05-05
Android应用开发HTTPS是实现安全网络通信的重要手段,它通过SSL/TLS...同时,开发者应当重视安全问题,避免在生产环境使用自签名证书。在实际项目,应该优先选择受权威CA信任的证书,以保障用户数据的安全。
apache证书不受信任_证书不受信任,如何解决。
weixin_39625586的博客
01-17 342
问题描述: 写了一个针对工商银行的简单的证书认证的程序(使用main函数执行),在一台linux上面可以使用,但是在另外一台linux机器上面无法使用。其jks文件是一样的。会出现如下错误。怀疑是系统的某个配置出现问题。具体是那个设置出了问题不知道,大家有没有好的处理方法。Exception in thread "main" javax.net.ssl.SSLHandshakeException...
Untrusted Server‘s Certificate(不受信任的服务器的证书)
Healer_小振的博客
11-05 1万+
IDEA关闭Untrusted Server's Certificate (不受信任的服务器的证书) 打开file→settings(快捷键 Ctrl + Alt + S) 打开settings找到ServerCertificates
java.security.cert.CertificateException异常的正确解决方法,亲测有效,嘿嘿嘿
PythonAigc的博客
05-06 2388
`java.security.cert.CertificateException` 是 Java 的一个异常,它通常与 SSL/TLS 通信证书验证问题相关。这个异常可能由多种原因引起,下面我将逐一分析这些问题,并提供相应的解决思路和代码示例。 ### 问题分析 1. **证书链不完整**:服务器提供的证书链可能不完整,导致客户端无法验证证书的有效性。 2. **证书已过期**:证书可能已经超过了其有效期。 3. **证书吊销**:证书可能已被吊销,但客户端的吊销列表(CRL)或在线证书状态协议
java.security.cert.CertificateException: Unacceptable certificate: CN=WoTrus DV SSL CA
Evilloafer的博客
09-29 3304
APP在手持终端遇到的问题:java.security.cert.CertificateException: Unacceptable certificate: CN=WoTrus DV SSL CA, O=WoTrus CA Limited, C=CN,查阅后发现是HttpsURLConnection请求HTTPS证书检查出现的问题。 解决方案 引用 https://blog.csdn.n...
java忽略证书验证(兼容http,https)
A1682234的博客
07-14 3022
HttpURLConnection是java的标准类,没有做封装,用起来比较原始,HttpURLConnection通常可以访问http/https协议,但是如果想忽略证书校验的话,需要使用HttpsURLConnection访问url,同时HttpsURLConnection只能访问https的协议。原文链接:https://blog.csdn.net/tianzhonghaoqing/article/details/128529358。java HttpsURLConnection忽略证书
java实现读取证书访问https接口
07-26
Java证书可以被加载到KeyStore对象,KeyStore是存储密钥对和证书的容器。常见的证书格式有: 1. **.cer**:这是X.509证书的Base64编码格式,通常包含公钥信息。 2. **.der**:DER(Distinguished Encoding ...
Android okhttp3.0忽略https证书的方法
01-20
2. 自签名证书,这种证书由服务器自行签发,不被系统信任,需要在代码特别处理。 忽略证书的过程分为以下几个步骤: 1. 当服务器使用自签名证书时,Android客户端在尝试连接时会遇到安全警告。为了忽略证书,...
Android使用OkHttp访问自签名证书的接口
06-02
// 忽略服务器证书检查,允许自签名证书 } @Override public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; } } ``` 2. 创建自定义的`SSLSocketFactory`,使用自定义的`...
安卓证书自动移动根目录
02-01
在安卓APK文件,`META-INF` 目录同样存在,用于存放应用的签名证书。 总的来说,这个工具简化了安卓设备上证书管理的过程,特别是对于那些需要频繁调整或更新证书的开发者和系统定制者。通过自动化的脚本,可以...
Java访问https请求被SSL证书拦截,并且忽略无效的解决办法
VringSbsda的博客
01-19 1586
证书放到jdk的这个路径下C:\Program Files\Java\jdk1.8.0_31\jre\lib\security 证书https://github.com/vring9999/Download-and-install.git
java ssl 忽略证书,Java SSL选择错误的证书忽略密钥用法
weixin_42131861的博客
02-24 287
I have a client/server which is using SSL to communicate.The keystore JKS in the client contains two certs with different key usage. Cert 1 is for SSL communication and cert 2 is for signing data:One ...
已解决java.security.cert.CertificateException: 证书异常的正确解决方法,亲测有效!!!
小明的Java问道之路
04-15 3052
已解决java.security.cert.CertificateException: 证书异常的正确解决方法,亲测有效!!!
java在访问https资源时,忽略证书信任问题
热门推荐
lizeyang的专栏
02-08 4万+
java程序在访问https资源时,出现报错 sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to r
java ssl 取消认证,Java SSL:如何禁用主机名验证
weixin_29482557的博客
03-02 880
Is there a way for the standard java SSL sockets to disable hostname verfication for ssl connections with a property? The only way I found until now, is to write a hostname verifier which returns true...
java httpclient忽略证书
最新发布
06-19
Java,使用Apache HttpClient库时,如果你想要忽略SSL证书验证,通常是因为你正在开发一个不关心安全性、仅用于测试或者处理自签名证书的环境。这可以通过设置HttpClient的SSLContext来实现,使其不检查证书。 以下是一个示例代码片段,展示了如何创建一个忽略证书验证的HttpClient: ```java import org.apache.http.client.config.RequestConfig; import org.apache.http.conn.ssl.NoopHostnameVerifier; import org.apache.http.ssl.SSLContextBuilder; SSLContext sslContext = SSLContextBuilder.create() .loadTrustMaterial(null, new NoopHostnameVerifier()) // 忽略证书验证 .build(); // 创建请求配置并设置SSL context RequestConfig requestConfig = RequestConfig.custom() .setSSLContext(sslContext) .build(); CloseableHttpClient httpClient = HttpClients.custom() // 创建HttpClient .setDefaultRequestConfig(requestConfig) .build(); ``` 在这个例子,`NoopHostnameVerifier`是一个实现了`HostnameVerifier`接口的类,它总是返回`true`,因此无论服务器的证书主机名是否匹配,都会被接受。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值