idea中jre system library_如何优雅处理HTTPS中的证书问题

最新推荐文章于 2024-04-19 15:25:52 发布
最新推荐文章于 2024-04-19 15:25:52 发布
阅读量524 收藏
点赞数
文章标签: idea中jre system library
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29331689/article/details/112089970
版权
本文介绍了Java中处理HTTPS证书问题的优雅方式,包括访问自签名HTTPS网站和高版本JRE处理SSL协议限制。建议下载服务端CA证书并自定义SSLContext,以及动态管理JRE的TLS配置和自定义SSLConnectionSocketFactory以兼容低版本协议。
摘要由CSDN通过智能技术生成

Java中HTTPS会遇到的问题

  • 访问自签名的HTTPS网站
  • 高版本JRE访问SSLv3/SSLv2站点
  • 一些银行接口需要加载keystore的场景

1 访问自签名的HTTPS网站

常常看到的回答是直接通过信任所有来支持, 这不优雅; 优雅的操作应该:

  • 下载服务端的CA证书
# 方式1: 导出DER格式的证书# 这里需要通过指定servername来保证导出的证书和当前域名匹配openssl s_client -showcerts -connect self-signed.badssl.com:443 -servername self-signed.badssl.com /dev/null|openssl x509 -outform der >self-signed.badssl.com.der
  • ​- 代码中通过加载服务端证书后通过自定义SSLContext访问目标服务器:
private SSLContext sslContext(File certificateFile, String certificateType) {    InputStream inputStream = null;    try {        inputStream = new FileInputStream(certificateFile);        CertificateFactory cf = CertificateFactory.getInstance(certificateType);        Certificate certificate = cf.generateCertificate(inputStream);        System.out.println("ca=" + ((X509Certificate) certificate).getSubjectDN());        String alias = ((X509Certificate) certificate).getSubjectDN().toString();        KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());        keyStore.load(null, null);        keyStore.setCertificateEntry(alias, certificate);        // Create a KeyStore containing our trusted CAs        SSLContext sslcontext = SSLContexts.custom()                .loadTrustMaterial(keyStore, new TrustSelfSignedStrategy())                .build();        return sslcontext;    } catch (IOException e) {        throw new RuntimeException(e);    } catch (CertificateException e) {        throw new RuntimeException(e);    } catch (NoSuchAlgorithmException e) {        throw new RuntimeException(e);    } catch (KeyStoreException e) {        throw new RuntimeException(e);    } catch (KeyManagementException e) {        throw new RuntimeException(e);    } finally {        if (inputStream != null) try { inputStream.close(); } catch (IOException e) { }    }}@Testpublic void testSelfSign() throws IOException {    File certFile = ResourceUtils.getFile(this.getClass().getResource("/root.cer"));    CloseableHttpClient httpclient = HttpClients.custom()            .setSSLContext(sslContext(certFile, "X.509"))  //            .build();    String body = Executor.newInstance(httpclient).execute(Request            .Get("https://self-signed.badssl.com/"))            .returnContent()            .asString();    System.out.println(body);}

2 高版本JRE访问SSLv3/SSLv2站点 ​

通常你得到的答案是通过修改`${JRE_HOME}/lib/security/java.security`目录下某些配置项来取消高版本SDK对某些不安全SSL协议版本或算法的限制。

0c9cb05478ef544d1d8079a95dd221d7.png

​各版本对SSL的支持情况

* 在2015年1月发布的升级补丁中也已经禁用对SSLv3的支持。 ​

所以为什么会出现在某些高版本无法访问某些HTTPS站点的原因就是由于有以下可能:

  • 服务端支持对SSL版本在本地JRE已经被禁用, 例如服务端只支持SSLv3而JDK已经默认关闭了对SSLv3的支持。
  • 服务端使用的JSSE Ciphers和本地支持的JSSE Ciphers没有共同项导致无法正常选择加密算法。

​2.1 确认当前JRE启用SSL协议 ​ ​ ​

@Testpublic void sslSupport() throws IOException {    SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory.getDefault();    SSLSocket soc = (SSLSocket) factory.createSocket();    // Returns the names of the protocol versions which are    // currently enabled for use on this connection.    String[] protocols = soc.getEnabledProtocols();    System.out.println("Enabled protocols:");    for (String s : protocols) {        System.out.println(s);    }}

​输出

Enabled protocols:TLSv1TLSv1.1TLSv1.2

2.2 确认当前JRE启用CipherSutes ​

String[] cipers = soc.getEnabledCipherSuites();System.out.println("Enabled CipherSutes:");for (String s : cipers) {    System.out.println(s);}

输出 ​

Enabled CipherSutes:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_RSA_WITH_AES_256_CBC_SHA256TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384TLS_DHE_RSA_WITH_AES_256_CBC_SHA256TLS_DHE_DSS_WITH_AES_256_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_AES_256_CBC_SHATLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA...

​2.3 检查服务器支持的SSL协议 ​

这里我推荐使用nmap检测:

nmap --script ssl-enum-ciphers -p 443 badssl.com

输出

Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-01 22:26 CSTNmap scan report for badssl.com (104.154.89.105)Host is up (0.32s latency).rDNS record for 104.154.89.105: 105.89.154.104.bc.googleusercontent.comPORT    STATE SERVICE443/tcp open  https| ssl-enum-ciphers:|   TLSv1.0:|     ciphers:|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A......|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A|     compressors:|       NULL|     cipher preference: server|     warnings:|       64-bit block cipher 3DES vulnerable to SWEET32 attack|   TLSv1.1:|     ciphers:|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A......|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A|     compressors:|       NULL|     cipher preference: server|     warnings:|       64-bit block cipher 3DES vulnerable to SWEET32 attack|   TLSv1.2:|     ciphers:|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A......|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A|     compressors:|       NULL|     cipher preference: server|     warnings:|       64-bit block cipher 3DES vulnerable to SWEET32 attack|_  least strength: CNmap done: 1 IP address (1 host up) scanned in 39.91 seconds

​根据输出可以看到badssl.com同时支持TLSv1.0、TLSv1.1以及TLSv1.2, 同时也可以看到当前对应协议支持的加密算法。 ​

2.4 解决方案

JRE在${JRE_HOME}/lib/security/java.security配置了一些算法的配置, 例如本地我的${JRE_HOME}/lib/security/java.security配置内容为: ​

jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, MD5withRSA, DH keySize < 1024,     EC keySize < 224, 3DES_EDE_CBC

表示当前JRE要禁用SSLv3协议以及RC4、DES等算法。
当然我们可以通过手动修改该文件来取消这些限制来达到我们对目的, 但这样程序在部署到新环境就可能不能正常运行, 不优雅! 优雅对操作如下:

  • 根据协议版本动态对JRE对设置取消设置, 在JRE中管理相关SSL协议以及算法的配置项主要是jdk.tls.disabledAlgorithms。
// 取消当前运行环境对SSLv3、RC4、DES以及3DES_EDE_CBC的禁用限制static {    String disabledAlgorithms = Security.getProperty("jdk.tls.disabledAlgorithms");    HashSet keys = Sets.newHashSet(disabledAlgorithms.split(", +"));    if (keys.contains("SSLv3")) keys.remove("SSLv3");    if (keys.contains("RC4")) keys.remove("RC4");    if (keys.contains("DES")) keys.remove("DES");    if (keys.contains("3DES_EDE_CBC")) keys.remove("3DES_EDE_CBC");    Security.setProperty("jdk.tls.disabledAlgorithms", StringUtils.join(keys, ", "));    log.debug("SECURITY PROPERTY UPDATED "jdk.tls.disabledAlgorithms" = " + Security.getProperty("jdk.tls.disabledAlgorithms"));}
  • 自定义SSLConnectionSocketFactory兼容对低版本协议对支持, 突破JRE默认限制。​ ​
// Allow SSLv3, TLSv1, TLSv1.2 protocol onlySSLConnectionSocketFactory sslConnectionSocketFactory =  new SSLConnectionSocketFactory(        sslContext,        new String[] { "SSLv3", "TLSv1", "TLSv1.2"},        null,        NoopHostnameVerifier.INSTANCE);

至此你就可以完美且优雅的解决这个问题。

当然到这里可能你依然会质疑何苦呢,而且使用了不安全的协议。哈哈,人生就是这么让你无可奈何,咱也没得选择。

附录

[1] HTTPS

https://en.wikipedia.org/wiki/HTTPS

[2] Obtain a Certificate from Server

https://ldapwiki.com/wiki/Obtain%20a%20Certificate%20from%20Server

[3] Transport Level Security (TLS) and Java

http://www.ateam-oracle.com/tls-and-java/

[4] Diagnosing TLS, SSL, and HTTPS

https://blogs.oracle.com/java-platform-group/diagnosing-tls,-ssl,-and-https

cr400af-2018
关注
IntelliJ IDEA安装教程(以IDEA2020.1为例)
蓝多多的小仓库
12-15 46万+
不然会报错嗷(即:第六节所示)!因为我之前有JDK,所以为了更好的演示,我先把JDK17卸载了。
java jdk jre版本要一样吗a_关于java:JAVA_HOME应该指向一个JDK而不是一个JRE
weixin_39593247的博客
02-24 1157
我正在尝试为我的项目设置Maven,但出现此错误" JAVA_HOME应该指向一个JDK而不是一个JRE"我知道已经有类似的问题,但是没有用。 如何在Windows将JAVA_HOME指向JDK。 我正在使用IntelliJ IDEA首先,您需要安装一个JDK。 你做完了吗?docs.oracle.com/cd/E19182-01/820-7851/inst_cli_jdk_javahome_t...
IDEA SVN https 证书问题
m0_53370288的博客
07-13 317
问题: svn: E230001: Server SSL certificate verification failed: certificate issued for a different hostname, issuer is not trusted 解决方法 Mac 打开 Terminal(终端),windows 打开cmd( 命令行)执行下面命令,按提示操作 svn list https://your.repository.url ...
使用IntelliJ IDEA配置SSL证书的过程
03-29 1947
导语:在开发过程,配置SSL证书是保证网络通信安全的重要步骤之一。本文将介绍使用IntelliJ IDEA作为开发工具,配置SSL证书的通用步骤,帮助开发工程师解决相关问题
idea2018.1配置svn,及ssl证书问题
HY0101的博客
01-27 6343
打开idea后,按ctrl+alt+s打开设置页面,按图要求配置 最后点击ok; 然后添加svn地址: 要是svN需要验证证书的时候,可能会出现以下错误: svn: E170013: Unable to connect to a repository at URL 'https://10.***.***.***/svn/upgrades-opension' svn: E230001: Ser...
springboot学习之HTTPS证书配置
hxxx1314的博客
02-28 284
步骤:1、生成https证书:在IDEA命令行输入G:\springboot_tomcathttps_demo04>keytool 密钥和证书管理工具 命令: -certreq 生成证书请求 -changealias 更改条目的别名 -delete 删除条目 -exportcert 导出证书 -genkeypair 生成密钥对 -genseckey 生成密钥 -gencert
如何把Https网站的安全证书导入到java的cacerts证书库?
weixin_33738555的博客
09-19 458
为什么80%的码农都做不了架构师?>>> ...
jre system library
06-02
JRE System Library 是 Java Runtime Environment 的核心库,它包含了 Java 标准类库和 JVM 运行时所...在 Eclipse、IntelliJ IDEA 等集成开发环境JRE System Library 就是表示当前项目所使用的 Java 运行环境。
idea安装oracle驱动
03-17
本文将详细讲解如何在IntelliJ IDEA(简称Idea安装Oracle驱动,以便于在Java项目连接并操作Oracle数据库。 首先,Oracle驱动是Java应用程序连接Oracle数据库所必需的组件,它以JDBC(Java Database ...
Java请求https方法
bold_idea的博客
08-30 793
参考百度链接:https://zhidao.baidu.com/question/1694899703762628988.html时间:2017-08-30SSLClient类,继承至HttpClientimport org.apache.http.HttpEntity; import org.apache.http.HttpResponse; import org.apache.http.
IDEA和tomcat实现https请求
最新发布
weixin_42077595的博客
04-19 525
spring boot配置https请求
macOS升级至12.1后,iOS开发证书无法安装到钥匙串“登录”目录下,无法导出P12文件问题解决方案
m0_59525754的博客
12-24 1万+
背景: 由于要上传app至app store所以配置对应的开发上架证书证书配置完成后需要共享给同组开发使用,需要导出P12身份信息文件。 问题描述: 按照常规安装方式,双击证书安装选择安装到“登录”目录下,然后在钥匙串应用,登录目录下选安装的证书右键导出,输入密码,选择导出P12文件。但是macOS升级到12.1之后,安装就没有登录目录这个选项,只能安装到iCloud或者系统。开发证书无法安装到iCloud,只剩下安装到系统,安装之后选证书,导出时只有三个选项,无法导出P12文件。 解决方案:
https.protocols的检测与设置
热门推荐
jerry_player的博客
12-23 1万+
最近在做一个需求,用到了https进行接口交互,在测试环境报如下错: 10:20:21,667 ERROR [stderr](http-executor-threads - 39) java.lang.IllegalArgumentException: TLSv1.2 10:20:21,667 ERROR [stderr] (http-executor-threads - 39) java.la
在CentOS系统下的Tomcat8.5或9安装SSL证书
耕耘
12-01 394
在CentOS系统下的Tomcat8.5或9安装SSL证书
解决IDEA提示Untrusted Server's certificate 证书不可用( Server's certificate is not trusted )
what_ever_so_what的专栏
02-12 9786
File-Settings-Tools-ServerCertificates
IDEA 证书亲测可用
icuihai的博客
12-03 9342
进入ide主页面,configure-manager license- license server,然后输入 http://idea.iteblog.com/key.php 即可~ 如下图
tomcat9(https)与IDEA的配置
wangpeng322的博客
06-28 1万+
一、tomcat9配置HTTPS前提:JDK1.8 安装完毕,tomcat 9.0.10下载解压完毕1、生成证书 直接使用命令生成:keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\tools\apache-tomcat-9.0.10\bin\tomcat.keystore"(秘钥口令:123456即可)2、配置tomc...
IDEA无法更新,提交SVN项目,因为Httpsssl不安全导致SVN报错 1750002
qq_35846729的博客
06-11 6492
鄙人菜鸟一个,以下内容仅供借鉴.问题描述: 刚刚入职新公司, 从公司svn server上checkout项目, 服务端采用的是VisualSVN server,而在checkout的过程都是正常的,当我修改了文件后准备更新下再提交时,IDea报错 SVN: 1750002, 自己百度了一下 是...
IntelliJ IDEA-nginx里配置https访问
蓝天之枫
05-14 1万+
上节说了 eclipse-tomcate里配置https访问,这次来说下 IntelliJ IDEA-nginx里配置https访问。 前提:我们公司提供的是CA证书,解压之后是 xxx.pem  xxx.key 两个文件一、下载 安装windowns下nginxhttp://nginx.org/en/download.html二、cmd进到nginx的安装目录里,启动nginx(start ng...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值