项目遇到的实际需求: java从信任所有证书到对server证书进行校验

已于 2023-06-01 12:36:49 修改
阅读量1.2k 收藏 1
点赞数
分类专栏: Https 文章标签: java ssl https 证书认证
于 2023-05-30 12:00:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011069294/article/details/130944631
版权

最近项目上开发了一个rest api,放在了一台linux服务器上,并且这个服务器配置了证书,启用了https连接;在另一台服务器上写了一个功能需要去调用linux机器上的api
项目里面自己封装了一个HttpsClient的类,用来发送https请求,并且在里面重写了TrustManager,方法体都为空,这样就不会对server的证书以及client的证书进行校验,能够顺利的从另一台服务器调用linux上的api。如下:

/**
 * 
 * A default TrustManager which will trust any certificate.
 *
 */
private static class DefaultTrustManager implements X509TrustManager {
	@Override
	public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
	}
	@Override
	public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
	}
	@Override
	public X509Certificate[] getAcceptedIssuers() {
		return null;
	}
}

但是上面的这种方法是不安全的,对server的证书以没有进行校验,就不能确定和自己进行通信的server,到底是不是真正的那个我想要通信的server,有可能是一个中间的,黑客部署的server,这样就会导致数据的安全问题。
于是需要对linux server端的证书进行认证,确认server是不是真正想要的server
解决方案:
linux服务器上,使用openssl生成了一个自签名的ssl证书(如何生成ssl证书),用这个证书来启用linux serverhttps证书,并且将这个证书放到另一台的某个目录,然后另一台系统上的java代码,在发送请求的时候,将证书放到keyStore里面,这样java就能对这个证书进行认证。
下面是ChatGPT给出的示例代码: 读取指定的每一个路径上的证书,放到JKS格式的keyStore里面,然后用这个keyStore初始化TrustManager,最后用TrustManager创建sslcontext

    private SSLContext getSSLContext(JSONArray certificates, String protocol) throws Exception {
        SSLContext sc = null;
        if (certificates != null) {
            String certFileName = null;
            try {
                // Create a temp keystore object to be used to make the HTTPS call
                KeyStore keystore = KeyStore.getInstance("JKS");
                keystore.load(null,null);

                for (int i=0; i < certificates.size(); i++) {
                    certFileName = (String)certificates.get(i);

                    try (BufferedInputStream bis = FileFactory.newBufferedInputStream((String)certificates.get(i))) {
                        CertificateFactory cf = CertificateFactory.getInstance("X.509");
                        Certificate cert = cf.generateCertificate(bis);
                        keystore.setCertificateEntry("cert" + i, cert);
                    }
                }
                TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
                tmf.init(keystore);
                // Create and initialize the SSL context that will be used by the HTTPS connection
                sc = SSLContext.getInstance(protocol);
                sc.init(null, tmf.getTrustManagers(), null);
            } catch(IOException e) {
                throw e;
            } catch(CertificateException e) {
                throw e;
            } catch(KeyStoreException | NoSuchAlgorithmException | KeyManagementException e) {
                throw e;
            }
        }
        return sc;
     }

PS: 其实只需要将root CA和中间CA证书放到keystore里面就行,为什么这里是将linux server上的整个证书都放在了里面?
因为linux server上的证书是自签名的,自签名的证书是没有CA签名的,它自己本身就是自己的root CA,这一点可以通过证书的信息看见,如下图,所以直接将整个自签名的证书放到keystore就行。
在这里插入图片描述

当然更加好的方法是去正规的CA机构申请证书,这样就有了root CA和中间的CA证书,就只需要把root CA和中间的CA放到keystore里面,java就能进行校验,保证通信的安全。

更多关于https的文章,请参考我的https专栏:https://blog.csdn.net/u011069294/category_11083017.html?spm=1001.2014.3001.5482

simpleGq
关注
专栏目录
java 信任证书_jdk信任证书
weixin_32966593的博客
02-15 565
在使用httpclient请求时,使用proxy设置后,然后就报错了。javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException...
Java信任所有SSL证书HTTPS请求抛错,忽略证书请求
qq_52071730的博客
02-05 2604
Java 信任所有SSL证书HTTPS请求抛错,忽略证书请求
java信任所有证书
weixin_30387339的博客
03-21 627
package com.eeepay.cashOut.util; import java.io.BufferedReader; import java.io.DataOutputStream; import java.io.IOException; import java.io.InputStreamReader; import java.io.UnsupportedEncodi...
java 信任所有ssl证书_【笔记】Java 信任所有SSL证书(解决PKIX path building failed问题)...
weixin_36217058的博客
02-16 991
java报错javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certif...
Java发送post或者get请求时如何信任所有证书
最新发布
yhj198927的博客
06-28 533
1.使用HttpURLConnection发送请求。2.使用HttpClient 发送请求。
java https信任所有证书
热门推荐
u012427018的博客
07-14 1万+
首先感谢http://www.infoq.com/cn/articles/keeping-your-secrets这篇文章解决了我的问题(即不能使用System.setProperty("https.protocols","TLSv1"); ) 以下是两个https信任所有证书的实例:package com.colotnet.util; import java.io.InputStre
java 信任所有ssl证书_Java 信任所有SSL证书(解决PKIX path building failed问题)
weixin_35353904的博客
02-16 1465
Java 信任所有SSL证书(解决PKIX path building failed问题)发布于 2014/04/29PHP & JavaJava在请求某些不受信任https网站时会报:PKIX path building failedjavax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorExcepti...
Java真实面试题
Hardy Army的博客
05-22 1336
蓝绿部署(Blue-Green Deployment)是一种减少系统停机时间和部署风险的策略,它涉及使用两个生产环境,分别称为“蓝色环境”和“绿色环境”。每个环境都拥有自己的硬件或虚拟机资源,包括服务器、数据库、存储等,并且两个环境都是完全配置好的,可以独立运行。蓝绿部署的步骤通常包括准备阶段:开发人员对应用进行修改和测试,准备新版本的应用。与此同时,两个生产环境(蓝色和绿色)都处于活跃状态,其中之一处理所有生产流量。部署新版本。
最新背诵版 Java 面经汇总囊括了基本所有考点(建议收藏)
m0_73256420的博客
09-06 934
集群就是多台机器,是一种线上的部署方案,很多机器加起来,性能就比一台机器强,一般用这种部署方案来解决高并发,高可用,容灾,集群也有不同的叫法,负载均衡集群,高可用集群,扩容集群等。什么是分布式分布式也叫做SOA,是一种设计方案,以前使用所有模块在一个项目中的写法,叫做垂直架构,后来由于互联网的兴起,为了模块间的解耦和扩展性以及部署的灵活性,会将一个项目按照模块进行拆分,一个模块就是一个项目这种设计方案叫做分布式架构,也叫做SOA架构。什么是负载均衡器以及作用?
构建高效稳定网络:揭秘Java网络编程的5大核心策略
Java中,网络编程不仅涉及到数据的传输,还包括数据格式的转换、连接的建立和维护,以及错误处理和安全性保障。 ## 1.2 Java网络编程的特点 Java作为跨平台、面向对象的编程语言,其在网络编程方面具有独特的优势...
客户端与服务器SSL双向认证(客户端:java-服务端:java)
04-23
客户端与服务器SSL双向认证(客户端:java-服务端:java):详细的过程,注意事项,运行成功!
获取证书证书信息以及检测证书是否有效demo-java
12-18
提供获取证书接口、获取证书信息接口以及检测证书是否过期接口源码, IDEA编译,提供正式封装接口,在测试的时候切记注意你提供的证书路径。
Java基础学习总结(53)——HTTPS 理论详解与实践
科技D人生
04-23 3083
前言 在进行 HTTP 通信时,信息可能会监听、服务器或客户端身份伪装等安全问题,HTTPS 则能有效解决这些问题。在使用原始的HTTP连接的时候,因为服务器与用户之间是直接进行的明文传输,导致了用户面临着很多的风险与威胁。攻击者可以用中间人攻击来轻易的 截获或者篡改传输的数据。攻击者想要做些什么并没有任何的限制,包括窃取用户的Session信息、注入有害的代码等,乃至于修改用户传送至服务器
Java序列化与JNDI注入漏洞案例实战
悦分享
08-04 464
序列化主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。序列化的使用场景很广,比如服务器收到请求参数,一种处理方式是一个个解析数据,自己构建处理数据。还有一种就是直接将数据反序列化为对象。当要把对象存储到缓存时,我们可以自己解析对象生成数据保存到缓存,取出时也自己处理数据转换为对象,也可以直接借助语言的序列化机制帮我们将对象序列化为数据存储起来,从缓存里获取数据后直接反序列化转为对象。在这些场景里,很明显序列化机制能极大改善我们的编程体验。Java 序列化基础。...
Java中的证书透明度验证
最佳 Java 编程
06-12 210
因此,我有一个幼稚的想法,即除了证书有效性检查(在Java中)之外,将证书透明性验证作为每个请求的一部分也很容易。 牺牲了整个周末的一半时间,我可以证明这并不是一件小事。 但是, 证书透明性是什么? 简而言之–它是世界上所有TLS证书的公开日志(即使SSL已过时,仍称为SSL证书)。 您可以检查该日志中是否发布了日志,如果没有发布,则有些可疑,因为CA必须将其所有已颁发的证书推送到日志中...
如何验证java_如何验证Java卡上的证书有效性?
weixin_39855869的博客
02-23 495
通常,验证证书对于智能卡来说是一项艰苦的工作.这些证书的大小通常大于2KiB.虽然这是用于通用PC的花生,但它不适用于智能卡,其中高端卡通常仅包含8 KiB的RAM.这是在操作系统,加密协处理器APDU缓冲区和 – 当然 – 您的小程序之间共享的.还有一个问题:通常智能卡不包含时钟.这使得证明证书在有效期内是一件棘手的事情;基本上你需要一些可靠的时间来保持时间.然后,证书验证通常使用CRL或OCS...
Java 解决PKIX path building failed问题(信任所有证书)
qq_36138652的博客
11-08 6126
解决PKIX path building failed
java 授信证书_java信任所有证书
weixin_34539644的博客
02-13 341
package com.eeepay.cashOut.util;import java.io.BufferedReader;import java.io.DataOutputStream;import java.io.IOException;import java.io.InputStreamReader;import java.io.UnsupportedEncodingException;im...
jodd忽略ssl证书_java访问https时,忽略证书信任问题
weixin_39825322的博客
12-19 580
java程序在访问https资源时,出现报错sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to reque...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值