Certificate for <xxx.xxx.xxx.com> doesn‘t match any of the subject alternative names: [xxx..com]

已于 2023-04-13 10:36:14 修改
阅读量2w 收藏
点赞数 4
分类专栏: java 文章标签: 运维 后端
于 2023-04-13 10:31:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lly576403061/article/details/130123699
版权

问题和解决

        我这里先描述问题和解决方案吧。很多同学不太关心发生的背景。

 问题表象

Certificate for <xxx.xxx.xxx.com> doesn‘t match any of the subject alternative names: [xxx..com]

问题解决方案

        肯定是域名访问的证书问题,要么是https证书失效,要么是该域名没有申请https证书。 从这两个方面去考虑和解决即可。我们的解决方案是因为纯内网服务没有https证书,所以使用http域名访问解决。

问题描述

        昨天晚上团队的小伙伴有个续期上线,上完之后群里沟通说完全兼容老业务,前端也做了兼融,即使前端不发布也不会有啥影响。然后大家就很欢快的回家了。

        “如果不出意外的话意外就要出现了” 
                                    -- 来自东方的神秘预言。

        结果意外来的很是及时,我当时还在回家的车上,收到了报警,紧接着测试同学就在群里开始反馈业务群里有人报问题了。当时心里那个“xxxxx”。其实通过手机也能看到是啥报警(下图),但是负责上线的同学没有遇到过类似的问题,我在群里问的时候是不是域名问题的时候他们说不是,反馈在和预发使用的同样的域名,预发没有问题。当时我就纳闷了,既然预发没有问题怎么到线上就有问题了,就在群里组织系统回滚,好在5分钟内止损了。

 问题根因

        1、域名证书问题。

        2、FeignClient Apollo加载问题。

        其实问题根因就是线上使用的是https访问依赖的服务,但是依赖的服务他是纯内网服务,没有申请https证书。导致使用https访问对方域名被拦截了。就是没有匹配到可用的证书。

        但是为啥上线的同学说使用的是http访问呢。我就去看了下Apollo的地址配置。这一看就破案了,开始开发依赖方提供的就是http域名,但是开发同学以为线上都应该是https访问的就自己改成了https域名,导致出现了问题。结果报错之后直接改了Apollo的配置位http。但是还是不生效,有引出了另一个问题。是因为我们使用 FeignClient 进行http调用的,他只是在启动的时候加载一次,导致开发同学修改了Apollo配置之后没有生效。

 一些思考

        针对上面描述的问题还是有些感触的。

1、研发针对上线的疏忽,没有评估到到影响面。

2、上完线之后的验证,全部的同学针对上线完毕的验证没有做到位,但凡有一个人上完灰度验证一次就会复现该问题。

3、确实环境问题在我们平时的开发中不常遇见,但是遇到了就要知道大概的方面,所以我将本次问题记录下来,方面大家查阅。

最后,希望可以帮助到大家。

阳仔的屁仔
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javax.net.ssl.SSLException: Certificate doesn't match any of the subject alternative names
weixin_33805743的博客
07-24 3174
问题:在使用 org.apache.http.*下的 CloseableHttpClient 发送https请求时报了以上错误 解决方案一:使用java.net.HttpURLConnection  import java.net.HttpURLConnection; public static HttpURLConnection connectToWeb(String uri) { ...
xxxxxx
02-14
xxxxxx
There is no getter for property named ‘xxxxx’ in ‘class com.xxx.xx.xx.xxxx‘”,
城南蝈蝈
03-02 4万+
实体类名与 xml 中的 property 名不符, xml 中 column 名与 property 名不符。解决办法: 这个如果你要做一一对应的话就写成一样的,要不然自己写参数对应也行。编写 sql 语句不要多空格少逗号之类的,不要写错少些字母。解法办法:请仔细检查sql语句。PS: 不要过度依赖代码生成器,有的代码自己写两遍才知道问题所在。实体类名与数据库类名不符。这个一般遇不到,而且可以不一定要对应。最后,就是我实际遇到的,mapper层和xml层写错了。然后就开始报上面的错误了。
调用阿里云数据可视化接口报错:Certificate for 域名/ip doesn‘t match any of the subject alternative names
sanqianqiqi的博客
05-21 409
调用阿里云数据可视化接口报错Caused by: javax.net.ssl.SSLPeerUnverifiedException: Certificate for doesn't match any of the subject alternative names
org.apache.ibatis.binding.BindingException:Invalid bound statement (not found):xxx.xxxx.xxx.xxMapper
xgbnapsua的博客
07-23 5158
解决办法总结: 办法1: mybatis下的dao的接口与xml映射不了,我的原因是没有在sqlSessionFactory 下配置 mapper(mapperLocations)文件扫描。 <bean id="sqlSessionFactory" class="org.mybatis.spring.SqlSessionFactoryBean"> <!-- 数...
【收藏】The top 200 sites on the web
weixin_34357267的博客
04-10 28万+
The top 200 sites on the web【整理】 SkySeraph Apr 10th 2011  HQU Email:zgzhaobo@gmail.com    QQ:452728574 Latest Modified Date:Apr 10th 2011 HQU   1Googlegoogle.com Enables users to search the We...
[origin ‘http://xxx.xxx.com:xxxx‘ has been blocked by CORS policy: The request client is not a secur
qq_30908729的博客
08-06 9062
2.搜索Block insecure private network requests。1.在浏览器输入框中输入 chrome://flags/进入设置页面。谷歌浏览器后出现上面的错误。
无法解决此远程名称:“www.xxxxxx.com“的解决方法
热门推荐
dingyi0739的博客
09-02 41万+
分析原因:从防火墙屏蔽端口到支付宝签约id是否过期,最后才找出原因,原来我的服务器DNS解析错误,无法访问到调用的远程服务器。原因是:服务器不能上外网。 解决办法如下: 在服务器上执行:开始|运行|cmd ping www.***com //注:ping 后面的地址是你调用的远程服务器的域名。 如果可以ping通,说明DNS解析正确。 ...
java.security.cert.CertificateException: No subject alternative DNS name matching XXX found解决方案
12-21
然而,当Java程序遇到"java.security.cert.CertificateException: No subject alternative DNS name matching XXX found"异常时,意味着Java无法找到匹配的证书主题备用DNS名称,从而导致SSL握手失败。 这个问题...
ssl.zip_c ssl_c语言 openssl_linux openssl_site:www.pudn.com
09-19
2. 创建SSL上下文,但这里需要设置服务器证书和私钥,使用`SSL_CTX_use_certificate_file()`和`SSL_CTX_use_PrivateKey_file()`。 3. 配置服务器是否需要验证客户端证书,如果需要,可以调用`SSL_CTX_set_verify()`...
cm-e8ed05808ab2 Rudy Molina 30MB_e8ed..com_cmcertificate_
09-30
描述中提到的"cablemodem certificate docsis 3.1"进一步明确了这是一个与Cable Modem和DOCSIS 3.1规范相关的证书。DOCSIS(Data Over Cable Service Interface Specification)是一种在有线电视网络上提供高速数据...
PKIXParameters.rar_The P.I
09-23
标题中的"PKIXParameters.rar_The P.I"指的是一个与PKIX(Public Key Infrastructure eXtensions)参数相关的压缩文件,可能包含用于验证PKIX证书路径的源代码。"The P.I"可能是一个项目或者组织的缩写,也可能是指...
XXX.rar_H XXX_XXX.www._https://cn.txxx.com_wwwxxxex_xxxwww.98
09-23
信号处理入门级程序,包含了数据采集,频谱分析等
Web Services Security X.509 Certificate Token Profile
最新发布
06-27
Web Services Security X.509 Certificate Token Profile
Verifying 000xxxxx ( 0%) Verify failed between address 0xxxxxx and 0xxxxxx Leaving target processor
Studying……
09-24 3万+
1. 首先要根据address后面的两个地址判断出错的到底是什么器件。一般情况出现错误的大多是存储器。     判断的方法是根据sopc中的地址,或者是system.h中的地址,查找相应出错的器件。 2. 检查硬件焊接是否正常。     很多时候有些问题是硬件焊接造成的,这个主要针对的是自己焊接的板子,一旦地址数据总线有任何焊接问题,都会出现verify failed错误。 3.
Aborted connection 1055898 to db: 'xxx' user: 'yyy' host: 'xxx.xxx.xxx.xxx' (Got timeout reading com...
weixin_34241036的博客
06-23 7610
mysql错误日志中,发现大量以下类似信息:(mysql 5.7.18) [Note] Aborted connection 1055898 to db: 'xxx' user: 'yyy' host: 'xxx.xxx.xxx.xxx' (Got timeout reading communication packets)   这种Aborted connection情况下,mysql会增...
python: can't open file 'sqlmap': [Errno 2] No such file or directory
happy_hsf的博客
09-08 7749
解决方案: cd /usr/bin 然后再执行: python sqlmap -u http://www.xxx.com
nginx对于XXX.comXXX.com/index给映射到www.xxx.com的方式
fhb19870610的专栏
05-15 36万+
location / {             root    C:/website;             index   index.html index.htm index.php;             include C:/website/.htaccess; if ($host !~ "www.xincanzs.com") { rewrite
No qualifying bean of type ‘com.xxx.xxx.xxx‘ available
纳兰青华的博客
10-23 4264
看清楚ComponentScan注解才是扫描注解,不是Conponent,Conponent注解主要是用于标记,告诉Spring当前类需要由容器实例化bean并放入容器中。看到这种错误想到的就是包扫描开启了没有?
java.security.cert.CertificateException: No subject alternative DNS name matching XXX found
11-16
这个错误通常是由于SSL证书中的主题备用名称(SAN)不包含您正在尝试连接的主机名引起的。这意味着您的Java客户端无法验证SSL证书,因为它无法验证证书是否与您正在尝试连接的主机名匹配。解决此问题的方法是将证书添加到Java信任存储中,或者在代码中禁用SSL证书验证。以下是两种解决方法: 1. 将证书添加到Java信任存储中 ```shell # 下载证书 openssl s_client -connect example.com:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt # 将证书添加到Java信任存储中 keytool -import -alias example -keystore $JAVA_HOME/jre/lib/security/cacerts -file example.crt ``` 2. 在代码中禁用SSL证书验证 ```java import javax.net.ssl.*; import java.security.cert.X509Certificate; public class SSLUtil { public static void turnOffSslChecking() throws NoSuchAlgorithmException, KeyManagementException { // 创建一个不验证证书链的信任管理器 TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { public X509Certificate[] getAcceptedIssuers() { return null; } public void checkClientTrusted(X509Certificate[] certs, String authType) { } public void checkServerTrusted(X509Certificate[] certs, String authType) { } } }; // 获取一个不验证证书链的SSLContext实例 SSLContext sc = SSLContext.getInstance("SSL"); sc.init(null, trustAllCerts, new java.security.SecureRandom()); HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory()); // 获取一个不验证证书链的HostnameVerifier实例 HostnameVerifier allHostsValid = new HostnameVerifier() { public boolean verify(String hostname, SSLSession session) { return true; } }; HttpsURLConnection.setDefaultHostnameVerifier(allHostsValid); } } ``` 在需要禁用SSL证书验证的代码中调用`SSLUtil.turnOffSslChecking()`即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值