ldap ssl java_Java通过SSL忽略Certificate访问LDAP服务器【转】

最新推荐文章于 2021-12-10 15:34:57 发布
最新推荐文章于 2021-12-10 15:34:57 发布
阅读量388 收藏 1
点赞数
文章标签: ldap ssl java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33329746/article/details/114069416
版权

最近负责AD账户同步,遇到证书问题。

搜索后都说从AD服务器拿下证书,导入到java的cacerts中,尝试多次后无效。

绝望之际,看到 https://www.iteye.com/blog/chnic-2065877 的一篇文章,想起请求https接口时做的绕过证书操作,发现基本一个原理。

以下为大神的原文:

前两天工作遇到一个基于C/S结构的LDAP+SSL访问的问题,由于LDAP的服务器都是内网服务器,所以不需要去进行certificate。在网上搜了一下,找到了个solution分享给大家。

由于默认的Java over SSL是需要certificate,对于一些不需要证书的case,如果只是简简单单的在初始化Context的时候加上如下的语句

1 props.put(Context.SECURITY_PROTOCOL, "ssl");

你就会收到如下的异常:

1 Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target2 at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)3 at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1884)4 at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:276)5 at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:270)6 at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1341)7 at sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:153)8 at sun.security.ssl.Handshaker.processLoop(Handshaker.java:868)9 at sun.security.ssl.Handshaker.process_record(Handshaker.java:804)10 at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1016)11 at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1312)12 at sun.security.ssl.SSLSocketImpl.readDataRecord(SSLSocketImpl.java:882)13 at sun.security.ssl.AppInputStream.read(AppInputStream.java:102)14 at java.io.BufferedInputStream.fill(BufferedInputStream.java:235)15 at java.io.BufferedInputStream.read1(BufferedInputStream.java:275)16 at java.io.BufferedInputStream.read(BufferedInputStream.java:334)17 at com.sun.jndi.ldap.Connection.run(Connection.java:853)18 at java.lang.Thread.run(Thread.java:744)19 Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target20 at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:385)21 at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)22 at sun.security.validator.Validator.validate(Validator.java:260)23 at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:326)24 at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:231)25 at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:126)26 at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1323)27 ... 12more28 Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target29 at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:196)30 at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:268)31 at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:380)32 ... 18 more

这一大串的异常信息用一句简单的话来概括就是你的Java client通过SSL来访问LADP server的时候,需要证书来做certificate,但是在我们本地并没有这样的东西,所以创建连接失败。

如何在建立连接的时候忽略certificate这一步呢?在我们的Java代码里需要做如下的事情,首先我们需要创建一个我们自己的TrustManagerh和SSLSocketFactory来替代默认的SSLSocketFactory

importjava.security.cert.CertificateException;importjava.security.cert.X509Certificate;importjavax.net.ssl.X509TrustManager;public class LTSTrustmanager implementsX509TrustManager {

@Overridepublic voidcheckClientTrusted(X509Certificate[] arg0, String arg1)throwsCertificateException {

}

@Overridepublic voidcheckServerTrusted(X509Certificate[] arg0, String arg1)throwsCertificateException {

}

@OverridepublicX509Certificate[] getAcceptedIssuers() {return new java.security.cert.X509Certificate[0];

}

}

importjava.io.IOException;importjava.net.InetAddress;importjava.net.Socket;importjava.net.UnknownHostException;importjava.security.SecureRandom;importjavax.net.SocketFactory;importjavax.net.ssl.SSLContext;importjavax.net.ssl.SSLSocketFactory;importjavax.net.ssl.TrustManager;public class LTSSSLSocketFactory extendsSSLSocketFactory {privateSSLSocketFactory socketFactory;publicLTSSSLSocketFactory() {try{

SSLContext ctx= SSLContext.getInstance("TLS");

ctx.init(null, new TrustManager[]{ new LTSTrustmanager()}, newSecureRandom());

socketFactory=ctx.getSocketFactory();

}catch( Exception ex ) {

ex.printStackTrace(System.err);

}

}public staticSocketFactory getDefault(){return newLTSSSLSocketFactory();

}

@Overridepublic Socket createSocket(Socket arg0, String arg1, int arg2, boolean arg3) throwsIOException {return null;

}

@OverridepublicString[] getDefaultCipherSuites() {returnsocketFactory.getDefaultCipherSuites();

}

@OverridepublicString[] getSupportedCipherSuites() {returnsocketFactory.getSupportedCipherSuites();

}

@Overridepublic Socket createSocket(String arg0, int arg1) throwsIOException, UnknownHostException {returnsocketFactory.createSocket(arg0, arg1);

}

@Overridepublic Socket createSocket(InetAddress arg0, int arg1) throwsIOException {returnsocketFactory.createSocket(arg0, arg1);

}

@Overridepublic Socket createSocket(String arg0, int arg1, InetAddress arg2, int arg3) throwsIOException, UnknownHostException {returnsocketFactory.createSocket(arg0, arg1, arg2, arg3);

}

@Overridepublic Socket createSocket(InetAddress arg0, int arg1, InetAddress arg2, int arg3) throwsIOException {returnsocketFactory.createSocket(arg0, arg1, arg2, arg3);

}

}

这两个类里有几句代码要解释一下。

SSLContext ctx = SSLContext.getInstance("TLS");

ctx.init(null, new TrustManager[]{ new LTSTrustmanager()}, newSecureRandom());

socketFactory= ctx.getSocketFactory();

这里的TLS其实是一个protocol。TLS的全称是Transport Layer Security Protocol,至于这个协议具体是干嘛用的,自己google啦。

50bb552c53801f5e0190347ee7c11d0c.png 接下来的两句就是通过自己dummy的TrustManager来初始化我们的SSLSocketFactory。值得多提的一句就是getDefault方法一定要有,因为在SSL建立连接的时候他需要通过这个方法来获取SSLSocketFactory的实例。

至于我们自己dummy的TrustManager我们只需要实现getAcceptedIssuers这个方法,让他返回一个X509Certificate的数组即可。

publicX509Certificate[] getAcceptedIssuers() {return new java.security.cert.X509Certificate[0];

}

上述的一切都做好之后,我们需要把我们dummy的class配置到LdapContextt当中。

Properties props = newProperties();

props.setProperty(Context.INITIAL_CONTEXT_FACTORY,"com.sun.jndi.ldap.LdapCtxFactory");

props.setProperty(Context.PROVIDER_URL,"ldap.provider.url=ldap://XXXXXX:636");

props.put("java.naming.ldap.factory.socket", "LTSSSLSocketFactory");

props.put(Context.SECURITY_PROTOCOL,"ssl");

props.setProperty(Context.URL_PKG_PREFIXES,"com.sun.jndi.url");

props.setProperty(Context.REFERRAL,"ignore");

props.setProperty(Context.SECURITY_AUTHENTICATION,"simple");

props.setProperty(Context.SECURITY_PRINCIPAL,"xxxxx");

props.setProperty(Context.SECURITY_CREDENTIALS,"xxxxxxx");

LdapContext ctx= new InitialLdapContext(props, null);

这里注意我们新配置的java.naming.ldap.factory.socket是需要包名+类名的,比如

props.put("java.naming.ldap.factory.socket", "com.xxx.LTSSSLSocketFactory");

就此我们完成了全部的工作,Java over SSL再也不需要certificate。

我是这样用的

dfd7a7d4afee65094acdd0f75482f153.png

原来引用的keystore注释掉了,加上自定义的ssl类

另外: ladp 进行批量同步时,25个左右会报一次错,停留3S左右,继续进行就不会报错了。

赶猪上高速
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java ldap ssl_LdapTemplate忽略ssl证书
weixin_42723849的博客
02-15 1159
一、背景最近做JAVALDAP操作,使用的是Spring的LdapTemplate,基本上一个bean注入就完成了LdapTemplate的初始化,正常连接389端口,现在要要试一下HTTPS的连接方式spring.ldap:urls: ldap://ip:389base: dc=xxx,dc=comusername: xxxpassword: xxx@Beanpublic LdapTempla...
java连接LDAP的jar包和实例
04-09
java连接LDAP实例和jar包,里面包含ssl连接和更改LDAP属性的例子,公参考
LDAP.rar_java ldap_ldap_ldap java
09-19
LDAP安装手册 通过此文件,可以知道SUN LDAP安装操作全过程
Java-AD域认证实现
04-24
打包命令为:mvn clean package Jar包运行命令为:java -jar C:\Users\z00459km\Desktop\demo-0.0.1-SNAPSHOT.jar 亲测AD域认证通过,内容包含两种认证信息写法。
cas server 实现LDAP、数据库认证
u011196623的专栏
09-09 982
开发十年,就只剩下这套Java开发体系了 >>>    ...
LDAP集成SSL/TLS
tangshiweibbs的专栏
05-02 5749
目录: 方案1:自签名证书   1.Server制作自签名证书  2.修改目录权限及所有者   3.修改配置文件,添加证书路径   4.重新生成配置文件 并启动服务   5.客户端配置及测试 方案2:CA中心签名    CA中心简介    一、建立Ca中心    二、客户机公钥签名      创建证书的另一种方法    三、将签名证书和CA证书导入ldap ser
Java使用LDAP修改解锁域账号,跳过证书认证
SunJames23的博客
12-10 1786
需求:员工在线更改域账号密码;解锁域账号; 环境:SpringBoot+Java8+Ldap。 必要条件:一个能改密码和解锁账号的超级管理员账号; 认证LDAP服务,跳过证书 连接LDAP,代码如下 private static DirContext ctx = null; private static final String adminName = "cn=aaa,ou=AAAA,DC=cccc,DC=dddd,DC=com"; private static final Stri
LDAPjava操作AD域 解决常见问题,SSL连接
weixin_49245941的博客
10-09 1392
LDAP(轻型目录访问协议) 通过IP协议提供访问控制和维护分布式信息的目录信息 是一个为查询、浏览和搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样。 1、LDAP的结构用树来表示,而不是用表格。可以使用JDBC方式或者JNDI方式操作。 2、LDAP可以很快地得到查询结果,不过在写方面,就慢得多。 3、LDAP提供了静态数据的快速查询方式。 4、Client/server模型,Server 用于存储数据,Client提供操作目录信息树的工具。 5、LDAP是一种开放Internet标准,LD
ldap ssl java_使用JavaLDAP over SSL
weixin_35793018的博客
02-12 219
以下代码工作正常:public static void main(String[] args) {String userName = "admin";String password = "s3cret";Hashtable env = new Hashtable();env.put(Context.INITIAL_CONTEXT_FACTORY,"com.sun.jndi.ldap.LdapCtx...
LDAP部署、java连接、SSL协议,以及遇到的证书问题
代码研究院
05-18 4159
写在前面的话: 部署openLDAP 2.4.44 (centOS 7.X 直接yum 安装的版本),之前在网上查找过教程,大多数openLDAP 2.3.X 初始配置已经有了很大变化。说直接改/etc/openldap/slapd.conf 没有就新建,或者修改/etc/openldap/slapd.d/下的文件。最后导致slapd服务总是起不来。所以写下这个教程,避坑。 我的环境 CentOS 7 关闭防火墙(开放指定的端口也是可以的,这里也很容易出问题) yum 服务安装 yum ins.
LDAP 客户端通过 SSLLDAP 服务器进行通信
tanken welcome
12-03 5287
 LDAP 客户端包括如以下过程使用 Wldap 32.dll,任何进程: 使用 Active Directory Services Interfaces (ADSI) 来调用的过程。 使用 LDAP 从 Windows 通讯簿 (WAB) 的过程。 此过程会启动通过使用 Microsoft Outlook Express 或使用搜索对话框。因为 Wldap 32.dll 是基础技
jndi.zip_java ldap_jndi_jndi ldap_ldap_ldap java
09-24
JNDI 操作 LDAP的几个例子源码 包括连接、添加、删除、修改、搜寻
LDAP_programming_With_Java.zip_java ldap_java ldap_java program
09-21
LDAP programming with java
3.3.01_LDAP_Java_API_使用指南
06-21
3.3.01_LDAP_Java_API_使用指南
行业分析模板--初学者必备gl.ppt
05-03
行业分析模板--初学者必备gl.ppt
基于微信小程序端的视频社交软件 + 后台管理系统(仿抖音).zip
05-03
简介随着微信的普及,小视频的流行,我们设计一款基于微信小程序端的视频社交软件 + 后台管理系统作为自己专科毕业设计----秀视频-微信小程序端(短视频社交小程序,用户可以在小程序上发布自己的短视频 并且经过我们的平台加入滤镜或者背景音乐制作出独具特色的短视频。并实现了点赞、评论、下载、分享、发等功能的小程序)---的后台管理系统,主要实现了人员的管理,短视频的管理,背景音乐的管理,登陆注册,权限验证,单点登陆等等。 从需求分析,功能设计,前端到后台,再到数据库的设计。一点点的积累,一点点的完善,预计小程序端+后台管理系统开发周期一个月(每天更新)。 对一个开发人员来说,如果想单纯的做出这些功能,其实并不难。 难的是对于这些功能细节的把控,项目整体的友好程度,用户的体验效果;对并发的考虑,对恶意请求,对流畅度这些细节的考虑等等。
基于matlab实现麦克风阵列的声源定位,四元十字阵的matlab仿真.rar
05-03
基于matlab实现麦克风阵列的声源定位,四元十字阵的matlab仿真.rar
某钢厂钢铁废水处理图纸.zip
最新发布
05-03
污水处理
基于yoloV4,检测茶叶中的杂质,并利用混淆矩阵计算识别率
05-03
混淆矩阵 检测茶叶中的杂质,并利用混淆矩阵计算出精确率和误判率 小技巧的设置 在train.py和train_eager.py文件下: 1、mosaic参数可用于控制是否实现Mosaic数据增强。 2、Cosine_scheduler可用于控制是否使用学习率余弦退火衰减。 3、label_smoothing可用于控制是否Label Smoothing平滑。
java 操作 ldap_JAVA操作LDAP总结
05-25
Java中,可以通过使用JNDI(Java Naming and Directory Interface)API来操作LDAP。 下面是一些Java操作LDAP的常见步骤和示例代码: 1.创建连接对象 ``` Hashtable, String> env = new Hashtable, String>(); ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值