Java 通过证书访问Https服务

最新推荐文章于 2024-07-30 21:30:35 发布
最新推荐文章于 2024-07-30 21:30:35 发布
阅读量3.5k 收藏 12
点赞数 4
分类专栏: Java 文章标签: HTTP 客户端证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joelcat/article/details/116004885
版权

前言

有些HTTP 服务要求客户端在请求的时候使用证书加密/解密/授权 (客户端证书授权)。比如说下面的 curl 命令

curl --insecure \
  --cert cert.crt \ 
  --key key.key \
  -d '{"name":"joel"}' \
  -H "Content-Type: application/json" \
  -X POST https://localhost:13321/get_user_info

那么,在Java中如何实现呢?

搜索关键词

  1. Java HTTPS client certificate authentication
  2. PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  3. Certificate for <xxx.xxx.xxx.xxx> doesn’t match any of the subject alternative names: [xxx.xxx]
  4. Chia RPC Java

证书转换

将 crt 和 key 导出为 p12

openssl pkcs12 -export -in cert.crt -inkey key.key -out cert.p12 -name "joelzho.com"

备注:

  1. 将输出的密码记住
  2. -name 的值最好是访问该服务接口的域名

示例代码

示例代码环境

<dependency>
    <groupId>org.apache.httpcomponents</groupId>
    <artifactId>httpclient</artifactId>
    <version>4.5.12</version>
</dependency>

import org.apache.http.conn.ssl.NoopHostnameVerifier;
import org.apache.http.conn.ssl.TrustAllStrategy;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClientBuilder;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContextBuilder;
import org.apache.http.ssl.SSLContexts;
import org.junit.Test;

import javax.net.ssl.SSLContext;
import java.io.FileInputStream;
import java.security.KeyStore;

/**
 * @author Joel
 */
public class TestClientCertAuthHtttp {
    @Test
    public void test() throws Exception {
        final String certFile = "/path/to/cert.p12";
        final String storePass = "store-pass";
        final String keyPass = "key-pass";

        KeyStore keyStore;
        try (FileInputStream fis = new FileInputStream(certFile)) {
            keyStore = KeyStore.getInstance("PKCS12"); // or "JKS"
            keyStore.load(fis, storePass.toCharArray());
        }

        SSLContextBuilder sslContextBuilder = SSLContexts.custom();
        sslContextBuilder.loadTrustMaterial(TrustAllStrategy.INSTANCE);
        sslContextBuilder.loadKeyMaterial(keyStore, keyPass.toCharArray());
        SSLContext sslContext = sslContextBuilder.build();

        HttpClientBuilder httpClientBuilder = HttpClients.custom();
        httpClientBuilder.setSSLContext(sslContext);
        httpClientBuilder.setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE);
        CloseableHttpClient httpClient = httpClientBuilder.build();

        // ....
    }
}

代码解读

密码

p12 (PKCS12) 证书只有一个密码,即 storePasskeyPass 相等.

如果是 jks 证书的话,两个密码大概率不同(看你导出jks证书的时候怎么设置的)

loadTrustMaterial

sslContextBuilder.loadTrustMaterial(TrustAllStrategy.INSTANCE); 这句代码主要是用来解决自签名证书不被Java信任的问题。相关的类有

  1. TrustStrategy: 一个接口
  2. TrustAllStrategy: 信任所有
  3. TrustSelfSignedStrategy: 信任自签名证书

这里选择 TrustAllStrategy 的原因是 TrustSelfSignedStrategy 的实现在开发环境可能无效(比如说不小心将证书导入到系统中了,然后你代码中又指定了一遍,详情看该类的实现代码)。

当然,最安全的做法是自己实现 TrustStrategy 在里面写验证。

相关异常:PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

setSSLHostnameVerifier

httpClientBuilder.setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE); 这句代码主要是用来忽略证书里面的 host实际请求的 host 不一致验证。

也许证书颁发机构给的证书里面写定的是一个域名,但是你本机做测试的时候没有域名或这个证书被用在不同的服务里面。那么加上这个句代码即可。

相关异常:Certificate for <xxx.xxx.xxx.xxx> doesn’t match any of the subject alternative names: [xxx.xxx]

番外

jks 证书怎么导出?

在这个示例中,你要先有一个 p12 格式的证书 (见上文)

keytool -importkeystore \
  -deststorepass storepassword \
  -destkeypass keypassword \
  -destkeystore cert.jks \
  -srckeystore cert.p12 \
  -srcstoretype PKCS12 \
  -srcstorepass srcstorepass \
  -alias joelzho.com

备注:

  1. deststorepassdestkeypass 的值要用到代码中
  2. srcstorepass 是 p12证书的密码
  3. -alias 的值最好是访问该服务接口的域名
  4. 获取 KeyStore实例的代码修改为: KeyStore.getInstance("JKS");

参考链接

Joel的小喵咪
关注
专栏目录
httpsSSL协议详解及Java实现免证书访问https服务代码
wonking666的博客
11-28 9082
httpsSSL协议详解及Java实现免证书访问https服务代码 tomcat提供https服务接口方法
java实现读取证书访问https接口
07-26
java实现读取证书访问https接口并获取返回数据.证书格式cer,der,crt等。
Java中的网络安全:TLS、HTTPS与加密技术应用
最新发布
微赚淘客系统开发者博客
07-30 557
遵循最佳实践,确保使用强加密算法、管理密钥安全、实现证书管理,并进行安全审计,将进一步提高应用的安全性和可靠性。TLS 是用于保护互联网通信的协议,通过加密技术确保数据在传输过程中的机密性和完整性。在 Java 应用中,配置 HTTPS 需要设置服务器端的 SSL/TLS 证书,并配置服务器使用该证书进行加密通信。使用受信任的证书颁发机构(CA)颁发的证书,确保通信的安全性。定期对应用进行安全审计,检查潜在的安全漏洞和配置问题。对称加密使用相同的密钥进行加密和解密,常见的算法包括 AES(高级加密标准)。
Java实现免证书访问Https请求
王绍桦
01-29 4616
创建证书管理器类 import java.security.cert.CertificateException; import java.security.cert.X509Certificate; import javax.net.ssl.X509TrustManager; /** * 证书信任管理器(用于https请求) * */ public class MyX509Tr...
Java实现通过证书访问Https请求
xiagf的博客
06-23 1777
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Java如何跳过httpsssl证书验证详解
08-25
在针对http进行升级时,在HTTPS证书未经权威机构认证的情况下,访问HTTPS站点的两种方法:一种方法是把该证书导入到Java的TrustStore文件中,另一种是自己实现并覆盖JSSE缺省的证书信任管理器类。 五、Java获取...
java访问https网络,无需证书
07-11
使用java写的访问https网络协议的网址,绕过了证书的验证
java https 服务_java 访问HTTPS rest服务
weixin_29301059的博客
02-12 141
import java.io.*;import java.net.*;import java.security.cert.CertificateException;import java.security.cert.X509Certificate;import javax.net.ssl.*;import org.json.JSONObject;public class AgsPortalLogi...
java访问https网址下载文件(含证书)
09-01
我使用jdk1.7,新建的是java项目,注意java compiler也是1.7,你需要把jar包拿过去,类拿过去
java 访问https 证书_Java+SSL证书访问Https站点
weixin_36124208的博客
02-25 723
服务器端证书客户端证书保存到本地,客户端证书在D:\download\client.p12,服务器端证书在D:\download\server.cer(本例使用的服务器端证书客户端证书是使用keytool自创建的,方法见另一篇博客https://mp.csdn.net/console/editor/html/105595647)import java.io.File;import java....
JAVA客户端导入证书访问HTTPS的方法
hello world
02-07 7510
1、java证书都放在了 D:\jdks\1.8\jre\lib\security 这个路径下的cacerts 文件里面。我们进入jdk/bin这个路径,使用keytool工具。2、输入以下命令 keytool -import -aliias [证书名字] -keystore [cacerts路径] -file [证书地址] 即可。如果是自己的网站可以从服务商那里下载,如果是别人的网站那么需要从浏览器导出。或者到方法二那里通过代码生成证书。3、。
Https 工具类
Gblfy_Blog
05-13 1158
package com.gblfy.qywx.utils; import java.io.ByteArrayOutputStream; import java.io.DataOutputStream; import java.io.IOException; import java.io.InputStream; import java.net.URL; import java.security.KeyManagementException; import java.security.NoSuchAlgori
java访问https
qq_32617311的博客
05-12 2005
     java端是指使用java访问https的链接,由于https是通过证书认证的,所以直接访问的话是会报错的,想要访问需要下载证书,放入到jdk中,接下来讲述一下具体步骤。     以chrome为例,点击链接前面的绿色锁–》详细信息–》view certificate–》证书详细信息–》导出证书。浏览器不一样...
java p12证书验证_Java s2s通过p12证书和基本授权连接到https
weixin_39842955的博客
02-28 388
我尝试通过使用p12证书和'基本授权'来实现将通过Java类连接到https服务器。你能概述一下如何将两者结合起来,包括安装p12证书吗?更新。以下是我使用的课程:public static void main(String[] args) {try {KeyStore clientStore = KeyStore.getInstance("PKCS12");clientStore.load(ne...
记录一次Java中使用P12证书访问https,nginx返回403的问题
原来是小雨啊的博客
04-12 690
成功返回,说明p12证书和密钥是没问题的。java代码就能正常返回了。
java 配置ssl访问https
Dead_Cicle
04-06 3970
1、访问本机,配置证书: 默认密钥: changeit 生成证书: keytool -genkey -alias mytomcat -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore D:/keystore.p12 -validity 3650 -keypass 123456 -dname "CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=US" -storepass 123456
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值