HttpClient如何访问需要提交客户端证书的SSL服务

最新推荐文章于 2024-04-29 09:26:24 发布
最新推荐文章于 2024-04-29 09:26:24 发布
阅读量1.1w 收藏 2
点赞数 2
分类专栏: Web开发与测试相关 接口测试相关

1.1 问题背景

自从***一期工程上了CA认证网关之后,在访问受CA认证网关保护的应用子系统时,必须提交客户端证书。那么问题来了,如果是人工(通过IE浏览器)访问子系统自然没问题,访问时会提示选择证书,输入PIN码等等,照做即可。但是如果是应用程序去访问呢?例如,A子系统提供了外部接口程序,由于受到CA认证网关的“保护”,外部程序如何访问A子系统的接口呢?

1.2 问题分析

应用程序自然没法像人工一样,借助浏览器访问应用子系统。此时外部应用程序如果直接通过HttpGet或HttpPost去访问应用子系统的接口时,会抛异常。

由于上了CA认证网关之后,实现的是应用系统访问的双向身份认证,即:客户端须验证服务端的身份,服务端也须验证客户端的身份。为了实现双向身份认证,客户端须安装服务端提供的服务端证书,并且客户端在访问服务端时须提交客户端证书。只有这样才能实现应用系统的正常访问。对于人工访问是如此,对于应用程序访问亦是如此。

令人庆幸的是,ApacheHttpClient提供了基于双向认证机制访问SSL服务的支持。HttpClient通过自定义一个携带证书的SSL连接,实现对需双向认证的服务的访问。

1.3 解决方案

1.3.1 准备工作

结合当前案例的实际情况,有一些准备工作要做:

1、    制作客户端带私钥的软证书,并转化成JKS格式。操作步骤如下:

1)、在用户管理中心注册用户,并推送到证书注册中心;

2)、登录证书注册中心,首先更新用户信息,把证书类型修改为“RSA个人单向证书”(默认是“RSA个人双向证书”);


3)、制作证书,在“签发个人证书”时,“证书设备”选择第二个选项(即:MicrosoftEnhanced Cryptographic Provider v1.0)


4)、导出证书:证书制作完成后就可以在IE的Internet选项-内容-证书列表中看到,然后选中该证书,点击导出。导出过程中注意选择“是,导出私钥(Y)”,如图所示:


然后下一步,输入私钥(123456):


最后导出一个.pfx格式的个人证书:


5)、把pfx格式证书转换为JKS格式(pfx格式的证书无法直接引用,需要转换成keystore格式,JKS就是keystore格式之一)。至于如何转换,百度一下,你就知道。

2、    把服务端证书(证书链)导入trust.keystore中备用。

在本案例中,服务端证书(证书链)包括ROOT.cer和CA.cer。这两个证书须导入trust.keystore。用JDK自带的keytool工具实现导入:

keytool-import -alias Root -file d:/Root.cer -keystore "d:/trust.keystore" -storepass123456

keytool-import -alias CA -file d:/CA.cer -keystore "d:/trust.keystore"-storepass 123456

3、    在网关上添加用户,并授予角色。

针对刚刚制作的证书,所关联的用户需在网关上手动录入,并添加到相应的角色中。只有这样,才能通过CA认证网关的系统级权限验证。操作步骤不再赘述。

1.3.2 访问应用子系统

ApacheHttpClient实现携带证书访问SSL服务的基本原理是:首先加载私钥证书到一个KeyStore中,并把服务端可信任证书加载到一个Trusted KeyStore中;然后用这两个KeyStore构造一个SSLContext对象,最终实例化一个CloseableHttpClient对象,并通过CloseableHttpClient去访问SSL服务。

源码:

import java.io.File;

import java.io.FileInputStream;

import java.security.KeyStore;

 

importjavax.net.ssl.SSLContext;

 

import org.apache.http.HttpEntity;

import org.apache.http.client.methods.CloseableHttpResponse;

import org.apache.http.client.methods.HttpGet;

import org.apache.http.conn.ssl.SSLConnectionSocketFactory;

import org.apache.http.conn.ssl.SSLContexts;

import org.apache.http.conn.ssl.TrustSelfSignedStrategy;

import org.apache.http.impl.client.CloseableHttpClient;

import org.apache.http.impl.client.HttpClients;

import org.apache.http.util.EntityUtils;

/**

*ThisexampledemonstrateshowtocreatesecureconnectionswithacustomSSLcontext.

*/

public  class MyClientCustomSSL {

 private final static StringTEST_URL ="https://125.35.24.152:446/sfda/HelloWorldServlet";

private final static StringKEYSTORE_FILE ="d:/00000190.jks";

private final static StringTRUSTSTORE_FILE ="d:/trust.keystore";

private final static StringKEYSTORE_PASSWORD ="123456";

 

    public final static void main(String[] args) throws Exception {

    //load the CA CERT(private key):

KeyStore keyStore  =KeyStore.getInstance(KeyStore.getDefaultType());

FileInputStream instream =

new FileInputStream(new File(KEYSTORE_FILE));

try {

        keyStore.load(instream,KEYSTORE_PASSWORD.toCharArray());

} finally {

             instream.close();

}

//load the trusted certs:

KeyStore trustStore  = KeyStore.getInstance(KeyStore.getDefaultType());

FileInputStream instream1=

new FileInputStream(new File(TRUSTSTORE_FILE));

try {

     trustStore.load(instream1,KEYSTORE_PASSWORD.toCharArray());

} finally {

     instream1.close();

}

// Trust own CA and allself-signed certs

SSLContext sslcontext= SSLContexts.custom()

.loadKeyMaterial(keyStore,KEYSTORE_PASSWORD.toCharArray())

.loadTrustMaterial(trustStore,new TrustSelfSignedStrategy())

.build();

// Allow TLSv1 protocol only

SSLConnectionSocketFactorysslsf =

new SSLConnectionSocketFactory(sslcontext,

                         new String[] {"TLSv1" },

                                null,

SSLConnectionSocketFactory.BROWSER_COMPATIBLE_HOSTNAME_VERIFIER);

         CloseableHttpClient httpclient =HttpClients.custom()

                 .setSSLSocketFactory(sslsf)

                 .build();

try {

HttpGet httpget = new HttpGet(TEST_URL);

System.out.println("ExecutingRequest:" + httpget.getRequestLine());

CloseableHttpResponseresponse = httpclient.execute(httpget);

try {

         HttpEntity entity =response.getEntity();

         System.out.println("-------------------------------------");

System.out.println(response.getStatusLine());

System.out.println(EntityUtils.toString(entity));

         EntityUtils.consume(entity);

     } finally {

response.close();

}

} finally {

 httpclient.close();

}

}

}

1.4 附录

1.4.1 HttpClient4.3官方下载

http://hc.apache.org/httpcomponents-client-4.3.x/download.html

1.4.2 官方示例ClientCustomSSL下载

http://hc.apache.org/httpcomponents-client-4.3.x/httpclient/examples/org/apache/http/examples/client/ClientCustomSSL.java

可口可乐的围脖
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Httpclient请求https时忽略ssl证书
xiao_bai_shu的博客
02-17 1000
Httpclient请求忽略ssl证书
HttpClient 忽略证书直接访问https站点
oscar999的专栏
02-20 5873
使用HttpClient 访问https 站点,可以通过以下两种方式忽略证书的检查。 方式1. 信任所有的站点 方式2. 忽略证书认证
Linux—— HTTPS证书
最新发布
Xinan_____的博客
04-29 1324
HTTPS的工作原理HTTPS)是一种用于安全传输超文本的通信协议。它是HTT协议的安全版本,通过在HTTP和TCP之间添加SSL/TLS加密层,确保传输过程中的数据安全性和完整性。HTTPS的工作原理1.建立安全连接:客户端(通常是浏览器)向服务器发起HTTPS请求时,服务器会返回自己的数字证书,证明自己的身份。客户端会验证证书的合法性,如果证书有效且可信,则客户端生成一个随机数作为会话密钥,并使用服务器的公钥加密该密钥,然后将加密后的密钥发送给服务器。2.
Java CloseableHttpClient https post请求 跳过证书验证 学习笔记
qq_39960204的博客
01-18 1428
Java CloseableHttpClient https post请求 跳过证书验证 ps:打印日志用自己的日志打印的方法就好 导包 import java.io.IOException; import java.nio.charset.StandardCharsets; import java.security.cert.CertificateException; import java.security.cert.X509Certificate; import java.util.Map; imp
httpclient https
xiaomin1991222的专栏
07-22 428
1.首先你要去打开一个https:///www.xxx.com的网站 导出一个steven.cer的证书文件 2.   3.     public static void main(String[] args) throws ClientProtocolException, IOException, KeyStoreException, NoSuchAlgorith...
HttpClient4.x调用指定证书访问https
走马行酒醴,驱车布鱼肉
11-13 3018
代码如下: package com.lala.http; import java.io.FileInputStream; import java.io.InputStream; import java.security.KeyStore; import javax.net.ssl.SSLContext; import javax.net.ssl.TrustManagerFactory; i
HttpClient配置SSL绕过https证书
学英语的程序员
09-27 1028
HttpClient配置SSL绕过https证书
httpclient访问需要客户端认证数字证书的https接口的处理方法
03-25
访问需要客户端认证的HTTPS接口时,通常需要提供数字证书以证明客户端的身份。本篇文章将深入探讨如何使用HttpClient来处理这种情况。 HttpClient是一个强大的Java库,用于执行HTTP请求。然而,当遇到需要客户端...
http远程接口调用-httpClient+跳过SSL证书校验
08-04
HttpClient是Apache提供的一款强大的HTTP客户端库,支持多种HTTP协议版本和功能,包括GET、POST请求、Cookie管理、重定向处理等。在远程接口调用中,HttpClient允许我们构建自定义的请求并获取响应,非常适用于API...
httpClient实例httpClient调用 http/https实例 忽略SSL验证
03-30
这个实例主要涉及如何配置HttpClient来忽略SSL(Secure Socket Layer)验证,这对于在开发和测试环境中处理自签名证书或未认证的服务器非常有用。以下将详细介绍HttpClient的使用以及如何进行SSL验证的忽略。 首先...
HTTPClient_delphi_delphi7_ssl_
10-01
在实际应用中,开发者需要了解如何在Delphi 7项目中导入和使用HTTPClient库,包括设置SSL证书、配置请求头、处理响应数据、错误处理等方面。对于SSL,开发者还需要熟悉证书链验证、私钥管理等概念,以确保安全通信。...
通过HTTPClient访问启用SSL的Quickr REST API
03-18
总结来说,`HTTPClient`访问启用SSL的Quickr REST API涉及到创建支持SSL的Socket工厂以及自定义的信任管理器,以适应不严格的证书验证。这两个类`EasySSLProtocolSocketFactory`和`EasyX509TrustManager`是实现这一...
httpclient使用详解
cuijieb的专栏
09-12 1436
Http协议的重要性相信不用我多说了,HttpClient相比传统JDK自带的URLConnection,增加了易用性和灵活性(具体区别,日后我们再讨论),它不仅是客户端发送Http请求变得容易,而且也方便了开发人员测试接口(基于Http协议的),即提高了开发的效率,也方便提高代码的健壮性。因此熟练掌握HttpClient是很重要的必修内容,掌握HttpClient后,相信对于Http协议的了解会
HttpClient 请求 Https 报错的SSL证书异常的问题,请使用以下方法解决。
沉心静气
03-14 1363
方法一,非长久之计,有失效风险(已经测试过,晚上好好的,白天就异常)方法二,应该比较稳妥一些。通过OpenSSL
通过HTTPS使用HttpClient信任所有证书
asdfgh0077的博客
02-13 3712
最近在Https上发布了有关HttpClient的问题( 在此处找到 )。 我取得了一些进展,但遇到了新问题。 与我的最后一个问题一样,我似乎找不到任何适合我的示例。 基本上,我希望我的客户
HttpClient实现https的简单例子
weixin_41785310的博客
12-06 989
参考:https://blog.csdn.net/orichisonic/article/details/79951460 (https实现) https://www.cnblogs.com/boycelee/p/6425325.html (https详解) (SSH详解) https://mp.weixin.qq.com/s?src=11&timestamp...
CloseableHttpClient
walle167的博客
03-22 7035
1.最新版的httpClient使用实现类的是closeableHTTPClient,以前的default作废了. 自4.3版本之后出现的。2.之前的httpClient 不能使用SSL证书验证。(还未具体的验证,不过之前的方法确实是没找到使用方法)。在研究最新的微信支付的时候,发现微信退款接口需要双向证书验证。然后研究微信支付的DEMO,发现使用的是4.3.2的httpClient版本。里面使用的
忽略证书验证的CloseableHttpClient
音速小子
06-09 4670
项目里需要忽略证书访问,在网上查了,大部分回答都是复制粘贴的,并且也没有什么结果。 自己看看源码,现在把创建忽略证书的CloseableHttpClient的方法共享下 public CloseableHttpClient getIgnoeSSLClient() throws Exception { SSLContext sslContext = SSLContexts.cu
CloseableHttpClient获取https请求不验证证书
海岛拾贝
01-30 3251
创建---调用 CloseableHttpClient httpclient = getHttpsClient(); /** * 获取https连接(不验证证书) * * @return */ private static CloseableHttpClient getHttpsClient() { RegistryBuild...
HttpClient 4.0.1 教程:执行HTTP请求与响应解析
HttpClient支持基本认证、摘要认证以及SSL/TLS安全连接,可以处理HTTPS请求和证书验证。 **异步操作** HttpClient还支持异步请求执行,通过Future和Callback机制,可以在请求完成时得到通知。 HttpClient是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值