关于SSL认证的小坑 SSLPeerUnverifiedException

最新推荐文章于 2024-01-29 06:32:27 发布
最新推荐文章于 2024-01-29 06:32:27 发布
阅读量3.6k 收藏 2
点赞数
分类专栏: 踩坑填坑 文章标签: java https http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tjsquall/article/details/108309469
版权
起因

最近公司要配置Tuleap和Jenkins的双向SSL交互通信,什么?Tuleap是个什么玩意? 这个我会在后面的帖子进行补充介绍。 您就理解它是一款优秀开源的项目管理工具即可(敏捷看板)。

经过

一波常规操作之后,基本上两台服务器各自使用SSL的通信测试命令都能跑通了。

常用的两个命令给大家演示一下:

//测试本地和目标服务器的443端口是否可以正常连通握手
openssl s_client -connect 172.17.162.164:443
//输出连接的到目标服务器的通信过程
curl -v https://172.17.162.164

测试连通、以及3次握手信息基本都没什么问题,但是系统对接上,出现了问题,上截图。

在这里插入图片描述

心理活动

纳尼,Hostname xxx not verified ? 我k,都握手了凭什么不认证?
百思不得其解,查阅了N多Google帖子,都没得到什么有价值的内容。后来自己开始入定冥想,结果问题锁定在这个位置:

在这里插入图片描述
发现ssl证书的SAN 这块儿没有配置,大概率可能是这里的的值没有设置,而上述程序需要调用到,结果报错。

后来查阅了一下资料,SubjectAltNames 这玩意是个什么东西,简单说就是 X.509 数字证书中的扩展字段,可以包括更多的主机信息:IP地址、DNS、Email等。

然后仔细又看了一下第一张报错图,发现在建立连接的时候报的错,那么我个人估计大概率就是IP地址没有设置,而程序的代码写的太苛刻,必须得通过证书中的SAN扩展字段中拿到IP地址做二次校验,才能够建立连接。

尝试解决

基于这个想法,咱别墨迹了,先走下面一波操作:

  • 想配置SubjectAltNames,就需要对openssl.cnf进行配置,首先定位它 /etc/pki/tls/openssl.cnf,
然后在[ v3_ca ] 区域下面加入  
subjectAltName = IP:172.17.162.164
  • 重新生成密钥
openssl genrsa -out cert164.key 2048 -nodes
  • 使用openssl.cnf和刚生成的密钥key生成crt证书
openssl req -new -x509 -key cert164.key -sha256 -config openssl.cnf -out cert164.crt -days 730 -subj "/C=CN/ST=private/L=Tianjin/O=Tianjin/CN=172.17.162.164”
  • 导出p12证书
openssl pkcs12 -export -out cert164.p12 -passout 'pass:123456' -inkey cert164.key -in cert164.crt -certfile cert164.crt -name cert164
  • 使用keytool,将p12证书转换导出jks文件
keytool -importkeystore -srckeystore cert164.p12 -srcstorepass '123456' -srcstoretype PKCS12 -srcalias cert164 -deststoretype JKS -destkeystore cert164.jks -deststorepass '123456' -destalias cert164
  • 查看jks证书是否携带了SAN信息
keytool -v -list -keystore cert164.jks -alias cert164 -keypass 123456 -storepass 123456

Keystore type: jks
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: cert164
Creation date: Aug 25, 2020
此处省略10万字…

Extensions:

#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: A5 80 CA 69 1C FE 33 34 9E 54 FA 2C 67 D9 E0 63 …i…34.T.,g…c
0010: A4 90 51 06 …Q.
]
]

#2: ObjectId: 2.5.29.19 Criticality=false
BasicConstraints:[
CA:true
PathLen:2147483647
]

#3: ObjectId: 2.5.29.17 Criticality=false
SubjectAlternativeName [
IPAddress: 172.17.162.164
]

#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: A5 80 CA 69 1C FE 33 34 9E 54 FA 2C 67 D9 E0 63 …i…34.T.,g…c
0010: A4 90 51 06 …Q.
]
]



重点看这块儿,携带扩展IP字段了咱这回~
**SubjectAlternativeName** [
  IPAddress: 172.17.162.164
]

- 目测没问题后,使用jks证书文件转换输出cer证书

keytool -export -alias cert164 -keystore cert164.jks -storepass 123456 -file cert164.cer

- 把cert164.cer证书,放到jenkins服务器上,并进行手动授信操作。

cp /home/cert164.cert /etc/pki/ca-trust/source/anchors/
update-ca-trust enable
update-ca-trust extract


#### 小高兴
以上这波操作过后,没想到搞定了,心里虽然有些小高兴,但是还要小总结小复盘一波:

SSL认证其实各种配置网上都有,很好找,但是就是有的个别系统在使用它的时候,可能程序会过度依赖证书的完整性。
这个问题说明是系统程序代码写的严谨,还是对证书的信息过度依赖了呢? 
至少咱们大概的原理搞明白也是好的。


希望看到帖子的你,在配置SSL的时候,能把证书信息搞的完整点儿就完整点儿,省的回来不定哪天哪个新系统上了又踩这坑:)
Java小虎
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决间歇性 SSLPeerUnverifiedException 问题
qq_33326733的博客
05-15 407
间歇性的问题可能由于多个原因引起,本文提供了几种潜在的解决方案。通过强制使用特定版本的 TLS 协议、确保证书配置正确、升级 JVM 和使用最新版本的okhttp3库,您可以显著减少或解决这个问题。希望这些建议能帮助您解决问题。如果有进一步的问题或需要更详细的帮助,请随时联系。
SSL for android
05-18
6. **异常处理**:在处理SSL连接时,可能会遇到如`CertificateException`、`SSLPeerUnverifiedException`等异常,需要正确捕获并处理这些异常,确保应用的健壮性。 7. **HTTPSHTTP的切换**:在应用中,可能需要...
Javajavax.net.ssl.SSLPeerUnverifiedException: peer not authenticated
最新发布
一些平时在开发过程中遇到的常见问题,分享给大家
01-29 1666
​此代码在本地开发环境正常运行,但是在服务器上mHttpClient.execute会报错: Exception in thread "main" javax.NET.ssl.SSLPeerUnverifiedException: peer not authenticated
OkHttp调用HTTPS遇到的问题之:SSLPeerUnverifiedException
notHeadache的博客
08-05 1万+
关于OkHttp OkHttp学习 Https学习 最近在用OkHttphttps接口的时候遇到一个问题 javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated. 这是由于https请求证书验证问题,直接请求一般都会失败。一般是做证书验证处理或者忽略证书验证。 可是给我https接口的小伙伴说,他们都没使用证书加密。我
SSLPeerUnverifiedException
huryer的专栏
07-17 6292
问题描述: 调用https服务时,提示以下错误: SSLException javax.net.ssl.SSLPeerUnverifiedException: Certificate for <192.168.1.123> doesn't match any of the subject alternative names: [www.demo.com] 解决办法: 方案1:修改hosts 如果修改操作系统hosts文件, C:\windows\system32\drivers\etc/ho
NO.91 SSLPeerUnverifiedException 问题之解决(附HttpClientUtils升级版)
AmosRyan--整体的局部还是整体,宇宙之外还是宇宙
02-28 1万+
SSLPeerUnverifiedException问题解决。 附HttpClinet工具 1. 基于Apache HttpClient4 2. 添加获取图片的方法 3. 支持https 4. 支持会话保持
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated
热门推荐
麦叔
05-08 2万+
Hello,小伙伴好久不见!今天在联调接口时,遇到一个错误,纠结了好久才解决.虽然是粗心引起的,但是也大概明白了引起这个错误的来龙去脉,现在整理一下,分享给大家,希望大家在遇到这个类似问题了,不会太无助; 前言 我们来看下问题发生的大背景;这次我们联调是一个获取单笔订单详情的接口,采用https请求方式.我方是请求方,现需请求能力开发平台(对方)的接口 1.Https加密认证过程是什...
使用https请求接口报:javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated”异常的问题处理
null111666的博客
04-02 4425
1.先看出现的问题情况如下: 2.然后我找到了问题的部位是使用httpClient发送请求出现的这个问题,我知道现场使用的是https协议,所以应该是发送https请求时出现了问题; 3.首先,要知道导致报这个异常的原因不仅仅是因为证书校验不通过。在我们通过https链接服务器时,服务器会给我们返回一个证书,这个证书可能经过CA认证,也可能是未认证的自制证书,客户端拿到这个证书后会对这个证书进行验证,如果是经过CA验证的证书,自然证书校验就能通过,自制证书自然就校验不同过,从而导致上边的异常。  
httpclient ssl 相关问题解决资料
02-19
当与未验证或自签名的证书的服务器通信时,HttpClient会抛出`javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated`异常。为了解决这个问题,我们需要配置HttpClient以信任所有证书,即使它们不是由...
Android-validate-SSL-certificate-example:android 如何安全的去校验ssl证书
05-08
4. **处理异常**:在尝试连接时,可能会遇到各种SSL相关的异常,如`SSLPeerUnverifiedException`或`CertificateException`。你需要捕获这些异常并适当地处理它们,比如向用户显示错误消息。 在Android-validate-SSL...
SSLSocketAndroid通信
08-16
在实际项目中,你可能还需要处理SSLHandshakeExceptionSSLPeerUnverifiedExceptionSSL相关的异常,以及证书链验证、密钥交换等复杂情况。例如,自签名证书的服务器需要在客户端进行特殊处理,或者你可能需要从...
bcprov-ext-jdk15on-1.52.jar,bcprov-jdk15on-1.52.jar
03-01
Java编程环境中,我们经常会遇到安全相关的异常,如`javax.net.ssl.SSLPeerUnverifiedException`。这个异常通常表示在进行安全套接层(SSL)或传输层安全(TLS)的网络通信时,服务器的身份没有得到正确的验证。...
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated 解决办法
FANHAOM的博客
12-10 3886
更换https证书,部分系统启动和交互出现此错误,证书厂商给的解释说是要手动向java环境中导入CFCA根证书,导入后恢复正常 关于Java根信任 一、根信任 证书通常采用树形结构,根证书是树的最高级证书,其私钥用于对其他证书进行签名。以三级树形结构为例,由根证书签名的证书称为中间证书,其继承根证书的可信赖性。中间证书对用户证书进行签名,其可信度依赖于根证书。 二、服务器证书验证 以单向SSL验证过程进行说明: ①客户端请求访问https资源; ②Web服务器将其证书连同中间证书提供给客户端; ③客户端验证
java调用https服务的ip地址报错证书问题解决:SSLPeerUnverifiedException: Certificate fo
Welcome
09-02 6970
调用https服务的ip地址api接口:"https://101.91.37.13/cgi-bin/token?",发出http请求后报错
javax.net.ssl.SSLPeerUnverifiedException: Hostname xxx not verified
Aile
12-07 8480
javax.net.ssl.SSLPeerUnverifiedException,制作自定义证书出现的不一致异常
使用httpclient5启动https协议桩请求报SSLPeerUnverifiedException
Terisadeng的博客
07-21 2121
SSLConnectionSocketFactory sslFactory = new SSLConnectionSocketFactory(sslContext, new NoopHostnameVerifier()); HttpClientConnectionManager connMgr = PoolingHttpClientConnectionManagerBuilder.create().setSSLSocketFactory(sslFactory).build(); return HttpCl.
Cas单点登录配置SSL时遇到的javax.net.ssl.SSLPeerUnverifiedException问题的解决方法
anjichan4261的博客
12-29 516
网上有很多资料介绍如何集成CAS单点登录产品。由于集成CAS需要预先在tomcat中配置SSL,而且还要在客户端导入证书,但是许多人按照网上介绍的操作操作却发现以下问题:尽管配置了SSL后可以访问https://localhost:8443,也能登录https://localhost:8443/cas/login,但是在地址栏输入自己的Web应用的连接,自动跳到Cas登录页面,登录...
[SoapUI]测试Https请求,解决问题SSLPeerUnverifiedException: peer not authenticated
tinaTing1的博客
07-15 1051
HTTPS在客户端和服务器端通过添加安全层(TLS/SSL)提供了一个保护性的连接。客户端需要服务器端提供认证,服务器同样需要客户端提供一个认证,这就导致了当使用soapUI测试HTTPS请求时会报错:SSLPeerUnverifiedException: peer not authenticated。 为了解决这个问题,我们需要在SoapUI中添加认证,为了测试简便,可以添加全局的认证从而访问任...
android HTTPURLConnection解决不能访问HTTPs请求
telenewbie的专栏
04-01 2946
转载自: http://www.trinea.cn/android/android-java-https-ssl-exception-2/ 详细分析Android及Java中访问https请求exception(SSLHandshakeException, SSLPeerUnverifiedException)的原因及解决方法。 1、现象 用Android(或Java)测试程序访问下
sslpeerunverifiedexception
03-16
sslpeerunverifiedexceptionSSL握手过程中出现的异常,通常是由于证书验证失败导致的。这个异常通常出现在客户端和服务器之间建立SSL连接时,如果服务器的证书无法验证或者证书链中存在不受信任的证书,就会抛出这个异常。解决这个问题的方法是检查证书是否正确,或者在代码中忽略证书验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值