为了清楚起见,这些可以作为单独的问题来表述,但是它们都与相同的问题相关。
如何解析SSL证书服务器名称?
为什么浏览器似乎使用证书的CN字段,但Java的机制似乎只看“主题替代名称”?
是否可以使用keytool向SSL证书添加备用名称?
如果没有,是使用openSSL而不是一个好的选项?
只是有点背景:我需要一个主服务器使用HTTPS与几个服务器通信。显然,我们不想为每个服务器购买SSL证书(可能有很多),所以我想使用自签名证书(我一直在使用keytool来生成它们)。在操作系统中将证书添加为受信任的证书后,浏览器(IE和Chrome)会将连接快速接受为受信任的。然而,即使在将证书添加到Java的cacerts之后,Java仍然不会接受连接为受信任的并抛出以下异常:
Caused by: java.security.cert.CertificateException: No subject alternative names
present
at sun.security.util.HostnameChecker.matchIP(HostnameChecker.java:142)
at sun.security.util.HostnameChecker.match(HostnameChecker.java:75)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkIdentity(X509T
rustManagerImpl.java:264)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(
X509TrustManagerImpl.java:250)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(Clien
tHandshaker.java:1185)
… 14 more
我发现我可以让Java信任证书实现我自己的HostNameVerifier,我从这里复制:com.sun.jbi.internal.security.https.DefaultHostnameVerifier只是为了测试(顺便说一下,作为参数传递给HostnameVerifier的主机名是正确的,所以我认为它应该已被接受)。
我一直使用证书字段CN作为主机名(通常是IP地址)。
任何人都可以告诉我,如果我做错了,指向我的方向正确的方向?